Kein Mangel an Zukunfts- themen · agentur. Jüngstes Beispiel ist der IT-Sicherheitskatalog für...

Das secunet Kundenmagazin 1 | 2019

Sicherheit für die Industrie 4.0Wie sich Maschinen im IoT-Umfeld vernetzen, absichern und überwachen lassen

Wandel an Europas AußengrenzenWie sich europäische Staaten auf dasEinreise-/Ausreisesystem der EU vorbereiten

AXEL DEININGER NEUER SECUNET CEO

Kein Mangel an Zukunfts- themen

SECUVIEW – 1 | 20192

Inhalt

National 4 Schutz kritischer Infrastrukturen: Sicherer als das

IT-Sicherheitsgesetz vorschreibt

7 Bayerische Steuerverwaltung: Sensible Daten analysieren – im Mobile Office

International 8 Themenschwerpunkt:

Einreise- / Ausreisesystem der EU 8 Wandel an Europas Außengrenzen

10 Zahlen und Fakten zu den Schengen-Außen-grenzen: Zu Lande, zu Wasser und in der Luft

11 EES-Vorbereitungen an den Luftgrenzen: Mittlerweile Mainstream – automatisierte Grenzkontrolle

13 Interview mit Petr Malovec, Tschechische Grenzpolizei

14 EES-Implementierung an Landgrenzen: Vielfalt der Szenarien

16 Interview mit Bernd Kowalski, Bundesamt für Sicherheit in der Informationstechnik

18 Interview mit Prof. Dr. Christoph Busch, Professor für Informatik / Biometrie

19 Island: Geysire, Gletscher und elektronische Reisepässe

In eigener Sache20 Kein Mangel an Zukunftsthemen

Interview mit Bernd Kowalski vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zu den Biometrie-Vorgaben des neuen europäischen Einreise-/Ausreisesystems EES

Technologien & Lösungen23 Digitale Revolution der Landwirtschaft:

Ackerbau und IT-Sicherheit

26 Automotive Security: Sicherheit effizient testen – durch mehr Standardisierung

28 Sichere Vernetzung in der Industrie 4.0: Am Rande des Netzwerks

32 Sicherheit für die Industrie 4.0: Vertrauen zwischen Maschinen

35 Pentests für die Industrie 4.0: Erst der Schrecken, dann die Lösung

36 Telematikinfrastruktur: E-Health – Kann Deutschland Digitalisierung?

39 SINA Produkt-News: Client im Flüstermodus

Kurz notiert40 Wunderbar together in San Francisco –

secunet auf der RSA Conference 2019

41 LänderDIALOG IT-Sicherheit 2019: Austausch über sichere Digitalisierung

42 KENIAL: Spenden für bedürftige Jugendliche in aller Welt

42 Spende an die DRK Kinderklinik in Siegen

Service43 Termine – Oktober bis Dezember 2019

43 Impressum

16

Vertrauen zwischen Maschinen: Wie die ifm-Unternehmensgruppe

ihre Industrie-4.0-Komponenten mit digitalen Identitäten versieht

28

3

EdItorIal

Liebe Leserinnen und Leser,ab heute begrüßt Sie an dieser Stelle ein neues Gesicht. Zum 1. Juni 2019 habe ich den Vorsitz des Vorstands der secunet Security Networks AG von Dr. Rainer Baumgart über-nommen, der nach 18 Jahren in dieser Position in den Ruhestand gegangen ist. Nun freue ich mich auf die großen und kleinen Aufgaben, die vor mir liegen. Als eine der kleineren gehört auch das Editorial der secuview dazu. Die Möglichkeit, regelmäßig einige Worte an Sie zu richten, werde ich gern wahrnehmen!

In den vergangenen Monaten hatte ich die Gelegenheit, mich intensiv mit einigen grundsätzlichen Fragen in Bezug auf secunet auseinanderzusetzen. Wie ist der Status quo, wo wollen wir hin, wie kommen wir dorthin? Antworten auf diese Fragen geben mein Vorgänger und ich in einem gemeinsamen Inter view in dieser Ausgabe der secuview.

Nur so viel vorweg: Bei der IT-Sicherheit handelt es sich um einen außergewöhnlich dynamischen Markt, der ständig neue Kundenbedürfnisse generiert. Darauf wollen und werden wir uns bei secunet einstellen, indem wir uns stärker international orientieren und auch – mehr als bisher – den Industriesektor fokussieren.

Wie spannend die Veränderungsprozesse in der In-dustrie sind, die durch die Digitalisierung angestoßen wurden, zeigen zwei weitere Artikel in dieser Ausgabe: Das Unternehmen ifm stellt Komponenten für die Indus-trieautomation her, und diese Geräte werden mit ver-trauenswürdigen digitalen Identitäten ausgestattet, damit sie in industriellen Infrastrukturen zweifelsfrei zugeordnet werden können. Zudem stellen wir dar, wie Maschinen im Umfeld der Industrie 4.0 sicher vernetzt werden können und mit Edge-Computing-Funktionen ihr volles Potenzial ausspielen.

Auch in unseren Kernmärkten tut sich einiges. Die Europäische Union führt im Jahr 2022 das Einreise- / Ausreisesystem EES ein, das die Schengen-Außengrenzen wirksamer ab-sichern wird. Daneben wird das System aber auch erheblichen Mehraufwand bei der Grenzkontrolle verursachen. Viele Staaten führen daher automatische Grenzkontroll-lösungen ein, die diesen Mehraufwand abfedern. In einem zwölfseitigen Themenspecial beleuchten wir den aktuellen Stand, mögliche Lösungen sowie bestehende Heraus-forderungen.

Nun wünsche ich Ihnen viel Spaß beim Lesen und eine schöne Herbstzeit!

Ihr Axel Deininger

Editorial


natIonal

Die RheinEnergie AG versorgt rund 2,5 Millionen Menschen sowie Industrie, Handel und Gewerbe mit Energie, Trinkwasser,

Erdgas und Wärme. Damit gehört das Unternehmen zu

den kritischen Infrastrukturen, für die in Deutschland seit dem Jahr 2015 besondere

Anforderungen an die IT-Sicherheit bestehen. Um

diese abzudecken, hat sich die RheinEnergie entschieden,

ein Informationssicherheits-Managementsystem (ISMS)

einzuführen. Das System kommt unternehmens-

weit zum Einsatz und geht damit über die gesetzlichen Bestimmungen hinaus. Wir

sprachen mit Patrick Porsch, der bei der RheinEnergie für

die Etablierung des ISMS ver-antwortlich war.

Herr Porsch, Energie- und Wasser-versorger wie RheinEnergie müssen sich mit einer ständig wachsenden Anzahl von Gesetzen und Regularien auseinandersetzen. Dazu gehören etwa das IT-Sicherheitsgesetz, branchen-spezifische Sicherheitsstandards wie der B3S für virtuelle Kraftwerke oder die Sicherheitskataloge der Bundesnetz-agentur. Jüngstes Beispiel ist der IT-Sicherheitskatalog für Energieanlagen, der im Dezember 2018 veröffentlicht wurde. Wie schafft es Ihre Organisation, mit dieser Flut umzugehen?Stimmt, für ein Unterneh men wie die Rhein-Energie, das in mehreren Sparten betroffen ist, ist der Umgang mit den vielen ver-schiedenen Anforderungen nicht einfach. Mit dem Betrieb des Strom- und Gasnetzes, der Wasserversorgung, dem virtuellen Kraft-werk für Sekundärregelleistung und den Kraftwerken sind wir von vier verschiedenen B3S bzw. Sicherheitskatalogen betroffen. Noch dazu enthalten diese Kataloge Anfor-derungen, die sich teilweise widersprechen.

Daher ist es für uns besonders wichtig, dass das Rahmenwerk des Informations-

sicherheits-Managementsystems (ISMS), welches wir in den letzten Jahren eingeführt haben, unternehmensweit einheitlich auf-gebaut ist und nur sehr wenige bereichs-spezifische Regelungen existieren. Eine Voraussetzung dafür war und ist die gute Zusammenarbeit der verschiedenen Haupt-abteilungen, die sich alle auf das zentrale Rahmenwerk verständigen konnten.

Zudem ist der wertvolle Input von secunet im Rahmen des ISMS-Projekts zu nennen. secunet hat seine Kontakte zum Gesetz-geber eingebracht. So war es möglich, die gesetzlichen Anforderungen richtig zu inter-pretieren und umzusetzen.

Außerdem ist die Kommunikation innerhalb der für uns relevanten Branchen wichtig: Mit den anderen Energie- und Wasserversorgern tauschen wir uns regelmäßig über die Aus-wirkungen der gesetzlichen Änderungen und den Umgang damit aus, zum Beispiel im Ver-band kommunaler Unternehmen (VKU), im Bundesverband der Energie- und Wasser-wirtschaft (BDEW) oder im Deutschen Ver-ein des Gas- und Wasserfaches (DVGW).

SCHUTZ KRITISCHER INFRASTRUKTUREN

Sicherer als das IT-Sicherheitsgesetz vorschreibt

Das Gas-und-Dampfturbinen-Heizkraft-werk Niehl 3 der RheinEnergie hat eine elektrische Leistung von 450 Megawatt

und 265 Megawatt Fernwärme.(c) RheinEnergie AG

5

natIonal

Die RheinEnergie AG ist ein in Köln und der rheinischen Region verankerter, bundesweit aktiver Energiedienstleister,

der neben Trinkwasser und Energie zahlreiche Energiedienstleistungen anbietet. Durch die Kooperation mit Unternehmen aus der Region hat sich die RheinEnergie sicher im deutschen Energiemarkt positioniert. Seiner Heimat bleibt das Unternehmen dabei eng verbunden und fördert mit seinen Lösungen die Wirtschaftskraft in Köln und dem Umland.

ZUM UNTERNEHMEN

Hauptverwaltung der RheinEnergie AG am Parkgürtel in Köln(c) RheinEnergie AG

Was gab seinerzeit den Anstoß zur Entwicklung des ISMS? Und wie gingen Sie bei dessen Aufbau vor?Die Basis für den Beschluss, ein ISMS auf-zusetzen, bildete das IT-Sicherheitsgesetz, das im Jahr 2015 in Kraft getreten ist. Wir sind jedoch über die gesetzlichen Anfor-derungen hinausgegangen: Obwohl lediglich einzelne Hauptabteilungen der RheinEnergie vom gesetzlich geforderten Geltungsbereich betroffen waren, haben wir uns dafür ent-schieden, das ISMS unternehmensweit aus-zurollen.

Security-Vorfälle kommen immer häufiger vor. Die Informationssicherheit wird damit für Unternehmen immer wichtiger. Daher woll-ten wir nicht nur die Informationssicherheit für die kritischen Infrastrukturen in unserem Unternehmen verbessern, sondern kon-tinuierlich das Sicherheitsniveau der ge-samten RheinEnergie AG anheben.

Kurzfristig wirkt sich dies natürlich erst-mal als Kostenfaktor aus. Mittel- und lang-fristig senken wir meines Erachtens durch IT-Sicherheitsmaßnahmen die Kosten, weil beispielsweise weniger Informationssicher-heitsvorfälle auftreten, diese zudem früher erkannt und schneller behandelt werden können.

Dabei ist hervorzuheben, dass der Auf-bau eines ISMS nach dem Top-Down-An-satz erfolgen sollte: Es gilt, zunächst den Vorstand von dem Thema zu überzeugen und als Unterstützer ins Boot zu holen, dann sollte im nächsten Schritt die Einbindung der Abteilungen erfolgen. So sind wir auch beim Aufbau des ISMS vorgegangen. Zunächst haben wir ein unternehmensweites Rahmen- und Regelwerk definiert, um anschließend die Prozesse in den einzelnen Hauptabtei-lungen zu etablieren.

Welche Herausforderungen ergaben sich bei der Umsetzung?Wegen der vielen verschiedenen Sektoren war eine Vielzahl von Anforderungen zu berücksichtigen, die alle unter einen Hut gebracht werden mussten. Wir hatten bereits mehrere Managementsysteme im Einsatz, etwa ein Qualitätsmanagement-system oder ein Energiemanagementsystem. Informationssicherheit war in diesem Zu-sammenhang aber ein neuer Aspekt. Daher mussten viele Organisationseinheiten abge-holt und eingebunden werden. Insbesondere die Sensibilisierung der Mitarbeiter und Führungskräfte für das Thema Informations-sicherheit war dabei sehr wichtig.

Insgesamt verlief die Umsetzung reibungs-los, was unter anderem auf das fachliche Know-how der secunet-Mitarbeiter und die Art und Weise, wie sie ihr Wissen in das ISMS-Projekt eingebracht haben, zurück-zuführen ist.


natIonal

Patrick Porsch war von Juni 2016 bis Mai 2019 bei der RheinEnergie AG als Informationssicherheits-beauftragter tätig. In dieser Funktion war er für die In-formationssicherheit der RheinEnergie verantwortlich. Er stellte sicher, dass die gesetzlichen Anforderungen an die Informationssicherheit eingehalten wurden und das Informationssicherheitsniveau kontinuierlich verbessert und überprüft wurde. Insbesondere kümmerte er sich um den Aufbau, die Steue-rung und die Etablierung des Informationssicherheits-Managementsystems (ISMS). Zusätzlich war er mit der Ausgestaltung des IT-Notfallmanagements beschäftigt, um die Fortführung der IT-Services bei Unterbrechungen des IT-Betriebs gewährleisten zu können.

Vor dem Einsatz als Informationssicherheitsbeauftragter arbeitete Pa-trick Porsch als Softwareentwickler und Scrum Master für die RheinEnergie und begleitete in dieser Funktion mehrere agile Projekte. In dieser Zeit be-schäftigte er sich bereits mit der Informationssicherheit der selbstent-wickelten Anwendungen.

Patrick Porsch

Informationssicherheitsbeauftragter der RheinEnergie AG(bis Mai 2019)

IM INTERVIEW

Welche Vorteile hat die Umsetzung eines ISMS für RheinEnergie?Zunächst einmal hilft uns das ISMS, Sicher-heitsrisiken frühzeitig zu erkennen und zu senken. So entsteht ein definiertes und trans-parentes Sicherheitsniveau. Informationen im Geltungsbereich des ISMS werden vor Bedrohungen im täglichen Betrieb stets an-gemessen geschützt.

Ein weiterer wichtiger Aspekt ist, dass wir mit dem ISMS eine Sicherheitskultur etab-lieren konnten, die von allen Mitarbeitern mitgetragen wird, insbesondere vor dem Hintergrund der Versorgungssicherheit für unsere Kunden.

Zudem ist durch das ISMS die Konfor-mität zu allen relevanten Rechtsvorschriften gewährleistet. Last but not least unterstützt das ISMS unsere Unternehmensstrategie: Es ist uns wichtig, dass Gesellschafter, Kunden, Partner und Mitarbeiter die RheinEnergie als verantwortungsbewussten und vertrauens-würdigen Energieversorger wahrnehmen. Dazu leistet auch Informationssicherheit einen wertvollen Beitrag.

Wie hat das Risikomanagement – in Form des ISMS – Einfluss auf den täg-lichen IT-Sicherheitsbetrieb genommen? Welche Änderungen hat es gegeben? Sind positive Effekte sichtbar? Sind an manchen Stellen neue Herausforde-rungen entstanden?Viele bereits vorhandene Prozesse haben wir hinsichtlich der Informationssicherheit optimiert, zum Beispiel die Berechtigungs-vergabe oder das Change Management. Informationssicherheit betrifft letztendlich jeden Prozess und jedes IT-System in den kritischen Infrastrukturen. Dies wird auch von den Mitarbeitern immer mehr als integraler Bestandteil ihres Aufgabengebiets wahr-genommen.

Anfangs stellten Risikoanalysen und da-raus abgeleitete Maßnahmen einen zusätz-lichen Aufwand dar. Dieser blieb von den Mitarbeitern nicht unbemerkt, da er in der Regel zusätzlich zu den bisherigen Aufgaben anfiel. Wir haben daher die Vorteile klar kom-muniziert und den Mehrwert für die einzelnen Mitarbeiter hervorgehoben. Ein Beispiel: Wenn Mitarbeiter ihre Prozesse detaillierter dokumentieren, ergibt sich ein klarer Vorteil, falls Kollegen für längere Zeit ausfallen. Denn

dann ist man unabhängig von deren „Kopf-monopol“ und kann die Prozesse weiterhin umsetzen. Dies führte dann auch zu einer gesteigerten Akzeptanz bei den Mitarbeitern.

Positive Effekte ergaben sich auch dadurch, dass beim Einkauf von Dienstleistungen und Produkten die Informationssicherheit stärker in den Fokus gerückt ist und sich die Anfor-derungen an die Dienstleister und Lieferanten in dieser Hinsicht verändert haben. Auch da-durch konnten wir eine Verbesserung der Informationssicherheit bei RheinEnergie fest-stellen.

Welche Auswirkungen hat das ISMS auf die IT-Infrastruktur?Natürlich hat das ISMS auch zu technischen Veränderungen geführt: Wir haben sowohl präventive als auch detektive Sicherheits-maßnahmen realisiert. IT-Sicherheit ist ein Prozess, der nie abgeschlossen ist, und daher wollen wir uns in dieser Hinsicht kontinuierlich weiter verbessern und fort-laufend an der Sicherheit der IT-Infrastruktur arbeiten.

7

natIonal

Wo Finanz- und Steuerdaten mobil bearbeitet werden, ist maximale Absicherung gefragt. Wie dies ohne große Einbußen bei Effizienz und Benutzerkomfort gelingen kann, ist eine Frage, die sich der Bayerischen Steuerver-waltung im Jahr 2018 stellte. Ausgangspunkt war der Aufbau einer Analyseeinheit mit der Aufgabe, zu statistischen Zwecken sowie für Geschäftsprüfung und Controlling sensible Daten auszuwerten. Da klar war, dass viele Mitarbeiter der neuen Einheit von unterwegs aus arbeiten würden, sollte die neue IT- Infrastruktur dies ermöglichen – und gleich-zeitig sehr hohen Sicherheitsanforderungen genügen.

Bei der Suche nach einer Lösung rückten die Clientsysteme schnell in den Mittelpunkt der Überlegungen. „Clientsysteme sind die Augen, Ohren und Finger einer Verwaltung, und damit ihr erweitertes Gehirn“ – dies war eine der Prämissen für das Projekt. Die zentrale Stellung der Clients macht sie be-sonders sicherheitsrelevant. Anders gesagt: Sobald ein Client kompromittiert ist, laufen viele Sicherungsmechanismen ins Leere.

Dies führte den IT-Betrieb der Bayerischen Steuerverwaltung schließlich zu einer SINA

Infrastruktur: Die Sichere Inter- Netzwerk Architektur SINA kann eine maximale Ab-sicherung bis hin zum Endgerät garantieren. Dabei kommt mit der SINA Workstation ein Client zum Einsatz, der verschiedene Sicher-heitsdomänen auf einer Maschine abbilden kann, die gegeneinander abgeschottet sind.

Und wie sieht die Lösung heute kon-kret aus? Über eine Datendiode werden die Daten aus dem Rechenzentrum in den abge-sicherten Bereich übergeben. Es bestehen zwei Zonen: eine normalsichere und eine hochsichere Zone. In der normalsicheren Zone haben die Mitarbeiter über LTE, WLAN oder LAN Zugriff auf ihre normale Büroumge-bung. In der hochsicheren Zone können sie auf die dort in Datenbanken und sonstigen Dateisystemen abgelegten sensiblen Daten zugreifen. Die hochsichere Zone stellt dabei ein zusätzliches VPN im VPN dar.

Somit genügt die Lösung den beiden Anfor-derungen Mobilität und Sicherheit und lässt sich zudem auf einfache Weise verwenden: Nutzer der SINA Workstation benötigen keinerlei gesondertes IT-Wissen.

Christian Eisenried [email protected]

BAYERISCHE STEUERVERWALTUNG

Sensible Daten analysieren – im Mobile Office

Haupteingang des Dienstgebäudes des Bayerischen Landesamts für Steuern in München (c) Bayerisches Landesamt für Steuern


IntErnatIonal

THEMENSCHWERPUNKT: EINREISE- / AUSREISESYSTEM DER EU

Wandel an Europas AußengrenzenAb dem Jahr 2022 wird das Einreise- / Ausreisesystem (Entry-/Exit-System, EES) der Europäischen Union die Außengrenzen des Schengen-Raums absichern – und die Grenzkontroll-prozesse dort erheblich verändern. Denn mit Einführung des EES müssen sich sämtliche Angehörigen von Drittstaaten, die in ein Land des Schengen-Raums einreisen wollen, an der Grenze mit vier Fingerabdrücken und Gesichtsbild registrieren lassen. Dieser Prozess löst das bisherige Stempelverfahren bei Reisepässen ab. Die biometrischen Daten werden zusammen mit weiteren Informationen zur Identität der Reisenden in einer zentralen Datenbank, die von der EU-Agentur eu-LISA betrieben wird, gespeichert. So wird es künftig einfacher zu überprüfen, wer sich innerhalb des Schengen-Raums aufhält und wer Auf-enthaltsfristen überschreitet. Dies dient dem Schutz vor illegaler Einreise, Dokumenten- und Identitätsbetrug sowie organisierter Kriminalität und Terrorismus.

Für die Grenzkontrollbehörden der Schengen-Staaten ergeben sich durch die Einführung des EES einige Herausforderungen. Die Registrierung der Drittstaatsangehörigen an sämtlichen Land-, See- und Luft-Außengrenzen des Schengen-Raums bedeutet einen hohen Mehraufwand, sodass mit erhöhten Ab-fertigungszeiten und damit langen Schlangen an den Grenzen zu rechnen ist. Eine Lösung für dieses Problem besteht in der Automatisierung einzelner Elemente des Grenzkontrollprozesses. Während viele Länder diesen Weg an ihren internationalen Flughäfen bereits gehen – zum Beispiel durch den Einsatz von eGates –, bestehen gerade für Landgrenzen noch offene Fragen. Die folgenden Seiten beleuchten den Stand der Dinge aus unterschiedlichen Perspektiven.

9

IntErnatIonal

SECUVIEW – 1 | 201910

IntErnatIonal: EInrEISE- / aUSrEISESYStEM dEr EU

ZAHLEN UND FAKTEN ZU DEN SCHENGEN-AUSSENGRENZEN

Zu Lande, zu Wasser und in der Luft

Risiken und Herausforderungen

6.667Drittstaatenangehörige mit gefälschten Reisedokumenten bei der Einreise in den Schengenraum

54.780Einreiseverweigerungen an Luftgrenzenz. B. aufgrund gefälschter Dokumente

150.114erkannte illegale Grenzübertritte

an EU-Außengrenzen

2.258erkannte heimliche Grenzübertritte

z. B. Personen, die sich in Zügen, LKWs und anderen Fahrzeugen verstecken

504.590Einreise- oder Aufenthaltsverweigerungen in Bezug auf Drittstaatsangehörige (TCN)(Quelle: SIS Statistik)

361.636erkannte Fälle illegalen Aufenthalts

Quelle: Frontex Risk Analysis (soweit nicht anders vermerkt) Zahlen aus 2018

42.673 km

26 Staaten

Quelle: EU-Kommission

7.721 km

Die Schengen-Außengrenzen in Zahlen

LandgrenzeSeegrenze

644Grenzüber-

gangsstellen an Flughäfen

17.698.986via Seegrenzen

Quelle: Projekt SMILE – SMart mobILity at the European

land borders, Zahlen aus 2017

306.904.064Grenzübertritte Gesamt

176.736.561via Luftgrenzen

112.468.517via Landgrenzen

Regulärer, legaler Grenzverkehr pro Jahr

11


Heute sind bereits mehr als 300 secunet easygates an großen internationalen Flughäfen im Einsatz, etwa in Deutschland,

Österreich, Tschechien und Island. Die neuesten Installa-

tionen fanden in Litauen, Polen und Ungarn statt.

Automatisierte Grenzkon-trollsysteme können helfen,

erhöhte Aufwände und Warte-zeiten infolge der Einführung des europäischen Einreise- /

Ausreisesystems EES zu vermindern.

Automatisierte Grenzkontrollsysteme wie das secunet easygate ermöglichen es in Verbindung mit elektronischen Identitäts-dokumenten, die Grenzkontrolle in weiten Teilen durch automatisierte Prozesse zu be-schleunigen. Die Mehrheit der Passagiere, die früher am Grenzkontrollschalter in der Warteschlange standen, kann somit heute den Grenzübertritt in Eigenregie vornehmen.

Der automatisierte Prozess ist denkbar ein-fach und weltweit inzwischen weit verbreitet. Daher sind die Passagiere zunehmend gut damit vertraut: Das secunet easygate überprüft optisch wie elektronisch die Au-thentizität des vorgelegten elektronischen Identitätsdokuments. Zudem liest das System das Gesichtsbild des Reisenden vom Chip im elektronischen Identitätsdokument aus und vergleicht die biome trischen Daten mit dessen Livebild. Dies alles geschieht inner-halb weniger Sekunden. Reisende nutzten die

secunet easygates bereits rund 75 Millionen Mal. Die letzten neu installierten Systeme stehen an den internationalen Flughäfen Vilnius (VNO), Liszt Ferenc in Budapest (BUD), Debrecen (DEB), Chopin in Warschau (WAW) sowie Warschau-Modlin (WMI).

Von der Automatisierung profitieren sämt-liche beteiligten Parteien: Grenzpolizeien werden entlastet, denn die Beamten über-wachen den Prozess an nachgelagerten Monitoring-Arbeitsplätzen und können sich dabei auf diejenigen Reisenden konzen-trieren, bei denen weitere Überprüfungen notwendig sind. Flughäfen profitieren von einem höheren Passagierdurchsatz. Die Reisenden schließlich freuen sich über kürzere Wartezeiten und die Möglichkeit, den Prozess selbst in die Hand zu nehmen.

EES-VORBEREITUNGEN AN DEN LUFTGRENZEN

Mittlerweile Mainstream: Automatisierte Grenzkontrolle

secunet easygates am internationalen Flughafen in Vilnius, Litauen

SECUVIEW – 1 | 201912


Die europäischen Staaten stehen zurzeit zunehmend unter Druck, ihre Grenzkontroll-prozesse zu optimieren: Bei weiterhin stei-genden Passagierzahlen und unveränderter Infrastruktur würde die Einführung des EES, die ab 2022 europaweit geplant ist, für großen Mehraufwand sorgen. Denn dann wird es vorgeschrieben sein, deut-lich umfassendere Prüfungen und die Er-fassung von biometrischen Merkmalen bei der Einreise von Passagieren von außer-halb des Schengen-Raumes, sogenannten Drittstaatsangehörigen (Third Country Na-tionals, TCN), vorzunehmen. Längere Warte-schlangen an den Grenzen sind demnach zu befürchten. Dieser Mehraufwand kann durch eine Automatisierung und Prozess-optimierung an den entscheidenden Stellen abgefedert werden: Alle Passagiere, die nicht zwingend am Grenzkontrollschalter überprüft werden müssen, werden direkt zu den auto-matisierten Systemen geleitet.

Automatisierte Grenzkontrollsysteme sind nicht nur als Einzelkomponenten, sondern auch als Elemente umfassenderer Lösungen verfügbar. So besteht das Produktportfolio secunet border gears aus einer Reihe von interoperablen Komponenten, die zusammen-genommen eine verzahnte, modulare Grenz-kontrollinfrastruktur ergeben. Sie decken bereits jetzt die Anforderungen des EES ab und lassen sich einzeln – oder als Gesamt-lösung – in bereits bestehende Infrastrukturen integrieren. So kommt in vielen europäischen Projekten mit automatisierten Grenzkontroll-Lösungen neben den secunet easygates auch die zentrale Serverinfrastruktur secunet easyserver zum Einsatz. Diese sorgt zum Beispiel für einen zuverlässigen, schnellen und sicheren Zugriff auf Polizei-Hintergrund-systeme, Public-Key-Infrastrukturen (PKI) und Masterlisten.

Die Grenzkontrollprodukte des secunet border gears Portfolios sind erfolgreich seit vielen Jahren unter Berücksichtigung der jeweils landes- und kundentypischen An-forderungen im Einsatz: Bei jeder neuen Implementierung fließt implizit auch das Know-how aus der Zusammenarbeit mit anderen Flughäfen und Sicherheitsbehörden ein.

Georg Hasse [email protected]

10 JAHRE SECUNET EASYGATE: SICHERHEIT UND BENUTZERKOMFORT BEI DER GRENZKONTROLLE

Der Grundstein für das secunet easy-gate wurde im Jahr 2009 mit dem Start des EasyPASS-Pilotprojektes am Flughafen Frankfurt am Main gelegt. Als Generalauftragnehmer des Bundes-amts für Sicherheit in der Informations-technik (BSI) war secunet für dessen Planung, Umsetzung, Auswertung und für die Integration des Gesamtsystems verantwortlich. secunet lieferte die Softwareplattform secunet biomiddle, die das EasyPASS-System einzigartig flexibel macht, und unterstützte bei den Tests und der Entwicklung dieser neuen Grenzkontrolltechnologie.

Seit 2010 gehört EasyPASS fest zur Grenzkontrollstrategie der Bundes-polizei. In enger Zusammenarbeit mit der Bundespolizei weiterentwickelt, zeichnet sich die aktuelle Generation der eGates unter anderem durch ihre einzigartige Überwindungssicherheit und eine op-timierte intuitive Benutzer führung aus, die einen schnellen Passagierdurch-lauf ermöglicht. In den Sommermonaten 2019 konnte EasyPASS einen Nutzer-rekord von mehr als zwei Millionen Passagieren pro Monat verzeichnen, die mittels der automatisierten Grenzkon-trollsysteme an deutschen Flughäfen die Grenze passiert haben.

Wir sind sehr froh, mit einem flexiblen und erfahrenen Anbieter zusammenzuarbeiten, mit dessen

Know-how wir eine Lösung implementieren können, die unseren Erwartungen entspricht. Dabei ist es

uns wichtig, auch auf Best Practices anderer Flughäfen

zurückgreifen zu können.

Lina Laurynaitytė, Technology Project Manager, Lithuanian Airports (LTOU)

13


„Automatisierung ist einer der Schlüsselfaktoren“

Im Interview: Petr Malovec, Leiter des National Border Situation Centre, Tschechische Grenzpolizei

COL. Mgr. Petr Malovec Ph.D. ist seit 2001 im Bereich der Grenzkontrolle tätig. In 2008 begann er mit umfangreichen Aktivitäten zur Bereitstellung biometrischer Daten und der zugehörigen PKI-Infrastruktur für die Grenzkontrollverfahren, die mit der erfolg-reichen Implementierung von automatisierten Grenzkontrollsystemen (ABC-Systemen) am Václav-Havel-Flughafen in Prag endeten.

Als Leiter des National Border Situation Center ist er verantwortlich für den erfolg-reichen Einsatz aller IKT-Technologien und -Systeme im Bereich Grenzschutz mit einer Vielzahl von Anwendungsfällen – von stationären über mobile bis hin zu ABC- Kontrollen.

Herr Malovec, welche Auswirkungen hat die Einführung des europäischen Ein-reise- / Ausreisesystems (EU Entry- / Exit-System, EES) auf die Grenzkontrolle?Es ist offensichtlich, dass wir die Funk-tionalität der stationären Grenzkontrolllösung, die wir aktuell nutzen, erweitern müssen, um die EES-Verordnung in vollem Umfang zu er-füllen. Neben der Funktionalität stellt jedoch der Gesamtdurchsatz bei der Grenzkontrolle eine der größten Herausforderungen dar, auf die wir uns konzentrieren sollten. Das gilt ins-besondere für den Václav-Havel-Flughafen in Prag, in dem sich die Situation ganz anders darstellt als bei kleineren Flughäfen, die einen niedrigeren Durchsatz an Reisenden und Drittstaatsangehörigen (Third Country Nationals, TCN) verzeichnen.

Welche Maßnahmen ergreift die tsche-chische Grenzpolizei in Vorberei tung auf die Einführung des EES?Aktuell haben wir eine umfassende Projekt-studie durchgeführt. Dazu gehört auch eine detaillierte Konzeptionsphase, in der wir ge-eignete Maßnahmen festlegen. Alle Ergebnisse der Studie werden regelmäßig von den Betei-ligten am Prager Flughafen und an anderen Flughäfen diskutier t, um beispielsweise Umgestaltungsmaßnahmen an bestehenden Grenzkontrollstandorten ins Auge zu fassen.

Wir sind überzeugt, dass Automatisierung einer der Schlüsselfaktoren ist, die den ge-samten Prozess unterstützen können. Im Hinblick auf die biometrische Erfassung, die vom EES gefordert wird, zeigt die Studie den Bedarf an einer effizienten Lösung zur automatisierten Erfassung von Gesichts-bildern, die allen relevanten Standards und Durchführungsbestimmungen entsprechen. Zwar steht eine solche Lösung ganz oben auf unserem Wunschzettel, aber sie ist nicht leicht zu finden.

Welche Erfahrungen haben Sie mit der Nutzung von eGates oder ABC-Gates (automatisierten Grenzkontrollschleusen) durch Drittstaatsangehörige gemacht?Kürzlich haben wir in Prag das ABC-System EasyGO testweise für Staatsbürger aus

Südkorea eröffnet. Dabei handelt es sich um eine temporäre Maßnahme bei der Ankunft eines täglichen Flugs aus Seoul, der im Durchschnitt 90 % Reisende aus Drittstaaten befördert. Bis jetzt zeigt der Test, dass sich der Einsatz von ABC-Gates in diesem Zu-sammenhang vorteilhaft auswirkt. So planen wir die Verwendung von ABC-Gates für das EES-Anwendungsszenario „Ausreise“, also beim Verlassen des Landes.

Welche Herausforderungen birgt der mög liche Brexit für den Grenzkontrollpro-zess am Václav-Havel-Flughafen in Prag?Im günstigsten Fal l werden Reisende aus Großbritannien nach dem Brexit als Freizügigkeitsberechtigte (Freedom Of Movement Travellers, FOM) gelten. Dann sind sie berechtigt, die für Reisende aus der EU, aus dem Europäischen Wirtschaftsraum und aus der Schweiz vorgesehenen Grenzkon-trollverfahren zu nutzen. Andernfalls würden wir einen Anstieg von Reisenden aus Dritt-staaten um ca. 25 % verzeichnen. Da wir jedoch alle möglichen unterstützenden Maß-nahmen ergreifen möchten, planen wir, die Anzahl der Grenzkontrollschalter und eGates in beiden Grenzkontrollbereichen des Prager Flughafens zu erhöhen. Wir gehen davon aus, dass eine maximale Automatisierung des Grenzkontrollprozesses hier helfen kann.

Werden neben automatisierten Syste men an Flughäfen auch mobile Systeme in Tschechien eine Rolle spielen?In dieser Hinsicht stellt sich die Situation in der Tschechischen Republik deutlich einfacher dar als bei den Luftgrenzen, da sich unsere Landgrenzen nicht mit Schengen-Außen-grenzen überschneiden. Allerdings werden kleine Flughäfen auf der sprichwörtlichen grünen Wiese oder auch provisorische Flughäfen mobile Lösungen benötigen. Die tschechische Grenzpolizei nutzt bereits eine mobile Lösung, mit der sich Reisedokumente jeder Art, einschließlich Visummarken, kon-trollieren lassen. Wir erwarten, dass diese Lösung künftig um sämtliche EES-relevanten Funktionen erweitert wird, insbesondere zu Zwecken der Dokumentenprüfung.

Petr Malovec

Tschechische Grenzpolizei

SECUVIEW – 1 | 201914


Wer schon einmal in die USA eingereist ist, weiß, dass es zu Wartezeiten kommen kann, weil an der Grenze biometrische Daten erfasst werden. Mit der Einführung des EES in Europa wird dies künftig auch hier der Fall sein. Dies betrifft Reisende aus Drittstaaten (Drittstaatsangehörige oder Third Country Nationals, TCN), die in den Schengen-Raum einreisen oder ihn verlassen.

An Flughäfen werden dabei Selbst-bedienungsterminals für die Vorregistrierung von Drittstaatsangehörigen sowie eGates für die automatisierte Abfertigung von Freizügig-keitsberechtigten eine entscheidende Rolle zur Gewährleistung eines effizienten Grenz-kontrollprozesses spielen. Solche Techno-logien lassen sich hier vergleichsweise einfach einsetzen, weil das Anwendungs-szenario fast immer dasselbe ist: Passagiere überqueren zu Fuß die Grenze innerhalb des Flughafens, nachdem sie sich am stationären Schalter oder auch an automatisier ten Grenzkontrollsystemen der Dokumenten- und Personenprüfung unterzogen haben.

Individuelle LandgrenzenBei Landgrenzen jedoch besteht eine Reihe von Herausforderungen. So gleicht keine Landgrenze der anderen: An großen Grenz-übergängen finden sich mitunter diverse Ge-bäude, umgeben von Parkplätzen, Straßen und Zugstrecken. Kleine Grenzübergänge dagegen weisen mitunter fast gar keine In-frastruktur auf. Zudem gibt es an der Land-grenze nicht nur Fußgänger – vergleichbar mit den Passagieren im Flughafen –, sondern der Grenzübertritt erfolgt per PKW, LKW, Bus, Zug oder auch per Fahrrad. Nicht nur Personen, sondern auch Fahrzeuge werden kontrolliert.

Wie bei allen anderen Grenzkontroll-szenarien ist auch an Landgrenzen durch die vorgeschriebene Aufnahme der bio-metrischen Merkmale von Reisenden zu-künftig mit längeren Wartezeiten zu rechnen. Der Aufwand für die Aufnahme und Prüfung der Personendaten am Grenzkontrollschalter erhöht sich. Es besteht die Gefahr, dass die Grenzkontrollbeamten ihre eigentlichen hoheitlichen und sicherheitsrelevanten Auf-gaben nicht mehr erfüllen können.

Hinzu kommt, dass das Platzangebot an Grenzübergängen oft sehr limitiert ist. Es mangelt sowohl an externer Infrastruk-tur für zusätzliche Parkplätze als auch an Raum für neue Abfertigungssysteme zur Be-schleunigung des Grenzkontrollprozesses.

Die EES-Verordnung verlangt, dass die Kontrolltiefe an jedem Grenzkontrollpunkt, also an jedem Ort, zu jeder Zeit und in jeder Lage gleichbleibend umfassend gewähr-leistet sein muss. Dies gilt unabhängig davon, ob es sich um eine Luft-, See-, oder Land-grenze handelt, und auch unabhängig von der dazugehörigen Infrastruktur, dem Grenz-kontrollprozess sowie der Fortbewegungsart der Reisenden. Auch die Qualität der bio-metrischen Erfassung und Verifikation muss unter allen Umständen gleich gut sicher-gestellt werden.

Für Staaten mit Landgrenzen ist dies die größte Herausforderung: Wie können bio-metrische Daten effektiv erfasst werden, wenn man Personen in Fahrzeugen oder in Bussen kontrollieren muss? Wie lassen sich Landgrenzen EES-konform gestalten, ohne dass die Länge der Warteschlangen ins Unendliche wächst? Und wie lässt sich an Landgrenzen angesichts all der Heraus-forderungen und Widrigkeiten eine konstant hohe Kontrollqualität durchsetzen?

EES-IMPLEMENTIERUNG AN LANDGRENZEN

Vielfalt der Szenarien

An den Luftgrenzen dieser Welt – also an den Terminals inter-nationaler Flughäfen – sieht es überall ähnlich aus, egal ob es sich um Flughäfen in Asien,

Europa oder Nord amerika handelt. Auch die Maß-

nahmen, mit denen sich die Grenzkontrollbehörden auf die Einführung des europäischen

Einreise- / Ausreisesystems EES an den Luftgrenzen vorbereiten, ähneln sich. Ganz anders im Fall der

Landgrenzen: Hier bestehen erhebliche Unterschiede, und

es sind auch noch etliche Fragen in Bezug auf die EES-

Einführung zu klären.

15


Mehrstufi ge ProzesseUm die EES-Anforderungen zu erfüllen, ist auch an Landgrenzen ein mehrstufiger Prozess notwendig, der eine Vorregistrie-rung von Drittstaatsangehörigen einbe-zieht. Untersuchungen von secunet haben ergeben, dass viele Sicherheitsbehörden hierfür sowohl Selbstbedienungskioske als auch mobile Systeme – Kofferlösungen und Handheld-Geräte – in Betracht ziehen. Dabei liegt der Fokus auf ersterem: Fußgänger, Autofahrer, Busreisende, Lastwagenfahrer können ihre Daten selbstständig an einem Selbstbedienungskiosk erfassen, bevor sie sich zur Kontrolle an den stationären Schaltern begeben oder – je nach Szenario – direkt zur Schranke vorfahren.

So wird zum einen die stationäre Kontrolle entlastet, Grenzpolizisten können sich auf ihre eigentlichen Aufgaben konzentrieren. Zum anderen umfasst die Vorregistrierung am Selbstbedienungskiosk die Aufnahme der biometrischen Daten und garantiert also

auch eine hohe und gleichbleibende Daten-qualität. Zu guter Letzt werden die Kiosk-systeme überwacht – eine weitere wichtige Anforderung der EES-Verordnung.

Strenge VorgabenDie Kiosksysteme selbst müssen strenge Anforderungen gemäß der EES-Verordnung erfüllen: Diese erstrecken sich auf Vor-gaben zur Biometrie, zum Beispiel müssen Gesichtsbilder gemäß ISO/IEC 19794-5:2011 als qualitativ hochwertige Frontal-aufnahmen erfasst werden. Ebenso hoch sind die Anforderungen im Bereich Über-windungssicherheit. So müssen sogenannte „Presentation Attacks“, also Betrugsver-suche mittels manipulierter biometrischer Merkmale wie Masken oder gefälschter Fingerabdrücke, zuverlässig erkannt werden. Dazu gehört auch eine Lebenderkennung für Gesichtsbilder und Fingerabdrücke.

Mobile Systeme spielen eine wichtige Rolle für die Kontrolle von Reisenden im Zug oder

auch bei der vorgelagerten Überprüfung von Reisenden in PKWs. Hier ist vorstellbar, dass mehrere Grenzkontrollbeamte gleich-zeitig mehrere Fahrzeuge („Cluster“) kon-trollieren. Dabei ist es wichtig, dass überall die gleichen strengen Anforderungen für die Aufnahme und Prüfung der biometrischen Daten sowie die Überprüfung der Identitäts-dokumente gelten – egal ob die Erfassung und Verifikation stationär, mobil oder am Selbstbedienungskiosk erfolgt. Es dürfen keine Schlupfl öcher entstehen.

Der Einsatz von Selbstbedienungs- und mobilen Systemen an der Landgrenze er-möglicht es, den steigenden Zeitbedarf infolge der zusätzlichen Prozessschritte, die durch die EES-Implementierung er-forderlich werden, zu kompensieren. Mehr als an Flughäfen gilt es dabei, individuelle Gegebenheiten zu berücksichtigen.

Frank [email protected]

Mobile Vorregistrie-rung durch die Reisenden

Mobile Erfassung durch Grenzkon-trollbeamte direkt am Fahrzeug

Überprüfung der Daten vom Selbst-bedienungskiosk

Mobile Grenzkontrolle im Reisebus

Mobile Überwa-chung von Selbst-bedienungskiosken

15


Mehrstufige ProzesseUm die EES-Anforderungen zu erfüllen, ist auch an Landgrenzen ein mehrstufiger Prozess notwendig, der eine Vorregistrie-rung von Drittstaatsangehörigen einbe-zieht. Untersuchungen von secunet haben ergeben, dass viele Sicherheitsbehörden hierfür sowohl Selbstbedienungskioske als auch mobile Systeme – Kofferlösungen und Handheld-Geräte – in Betracht ziehen. Dabei liegt der Fokus auf ersterem: Fußgänger, Autofahrer, Busreisende, Lastwagenfahrer können ihre Daten selbstständig an einem Selbstbedienungskiosk erfassen, bevor sie sich zur Kontrolle an den stationären Schaltern begeben oder – je nach Szenario – direkt zur Schranke vorfahren.





auch bei der vorgelagerten Überprüfung von Reisenden in PKWs. Hier ist vorstellbar, dass mehrere Grenzkontrollbeamte gleich-zeitig mehrere Fahrzeuge („Cluster“) kon-trollieren. Dabei ist es wichtig, dass überall die gleichen strengen Anforderungen für die Aufnahme und Prüfung der biometrischen Daten sowie die Überprüfung der Identitäts-dokumente gelten – egal ob die Erfassung und Verifikation stationär, mobil oder am Selbstbedienungskiosk erfolgt. Es dürfen keine Schlupflöcher entstehen.


Frank Steffens [email protected]

15


Mehrstufi ge ProzesseUm die EES-Anforderungen zu erfüllen, ist auch an Landgrenzen ein mehrstufiger Prozess notwendig, der eine Vorregistrie-rung von Drittstaatsangehörigen einbe-zieht. Untersuchungen von secunet haben ergeben, dass viele Sicherheitsbehörden hierfür sowohl Selbstbedienungskioske als auch mobile Systeme – Kofferlösungen und Handheld-Geräte – in Betracht ziehen. Dabei liegt der Fokus auf ersterem: Fußgänger, Autofahrer, Busreisende, Lastwagenfahrer können ihre Daten selbstständig an einem Selbstbedienungskiosk erfassen, bevor sie sich zur Kontrolle an den stationären Schaltern begeben oder – je nach Szenario – direkt zur Schranke vorfahren.





auch bei der vorgelagerten Überprüfung von Reisenden in PKWs. Hier ist vorstellbar, dass mehrere Grenzkontrollbeamte gleich-zeitig mehrere Fahrzeuge („Cluster“) kon-trollieren. Dabei ist es wichtig, dass überall die gleichen strengen Anforderungen für die Aufnahme und Prüfung der biometrischen Daten sowie die Überprüfung der Identitäts-dokumente gelten – egal ob die Erfassung und Verifikation stationär, mobil oder am Selbstbedienungskiosk erfolgt. Es dürfen keine Schlupfl öcher entstehen.


Frank [email protected]

Mobile Vorregistrie-rung durch die Reisenden

Mobile Erfassung durch Grenzkon-trollbeamte direkt am Fahrzeug

Überprüfung der Daten vom Selbst-bedienungskiosk

Mobile Grenzkontrolle im Reisebus

Mobile Überwa-chung von Selbst-bedienungskiosken

SECUVIEW – 1 | 201916


„Qualitativ hochwertige und zugleich effiziente Biometrie-Erfassung“

Herr Kowalski, können Sie kurz die Ziele und Aufgaben der Smart-Borders-Gruppe skizzieren?Die BSI-Projektgruppe Smart Borders ist Teil der nationalen Projektgruppe Smart Borders unter Federführung des Bundesministeriums des Innern, für Bau und Heimat (BMI). Be-reits seit 2014 begleiten wir gemeinsam mit Bundespolizei und Bundesverwaltungsamt die Ausgestaltung und Umsetzung des europäischen Smart-Borders-Vorhabens. Mit Verabschiedung der Verordnung über das Europäische Ein- / Ausreiseregister (Entry-Exit-System, EES) wurde durch das BMI eine nationale, behördenübergreifende Projektorganisation eingerichtet. Die na-tionale Projektgruppe ist zuständig für die Umsetzung des EES und des ETIAS (Euro-pean Travel Information and Authorisation System) in Deutschland. Die neuen Systeme bieten die Möglichkeit für ein umfassendes Identi tätsmanagement auf Basis bio-metrischer Daten für sämtliche Drittstaats-reisende. Wir befassen uns zum Beispiel mit der Anbindung an die neu zu schaffenden europäischen Zentralsysteme und der Digitalisierung des Grenzkontrollprozesses an den Schengen-Außengrenzen der Bundesrepublik Deutschland. Ein weiterer Aspekt ist der Zugriff weiterer Migrations- und Strafverfolgungsbehörden im Inland auf das EES. Das BSI unterstützt dabei die operativen Polizeibehörden auf Basis seiner gesetzlichen Befugnisse.

Welche Standards und technischen Richtlinien unterstützen die optimale EES-Implementierung?Dreh- und Angelpunkt aller Vorgaben ist die EES-Verordnung selbst. Im Gegen-satz zu anderen Rechtssetzungen werden hier detaillierte Vorgaben zu Zugang und Ablauf im Rahmen der EES-Prozesse

definiert. Ergänzend für die technische Umsetzung sind die delegierten als auch die Umsetzungsrechtsakte, die gemeinsam mit den Mitgliedsstaaten ausgestaltet werden. Aus Sicht der Mitgliedsstaaten sind diese Spezifikationen aber nicht ausreichend, da sie letztlich nur die Sicht des Zentralsystems auf die Datenanlieferung und -abfrage ab-bilden. Daher wurde das BSI beauftragt, weitere Umsetzungsspezif ikationen für technische Komponenten des EES zu ent-wickeln. In diesem Kontext sind zuvorderst die Technische Richtlinie BSI TR-03135 für die hoheitliche Dokumentenprüfung und auch die BSI TR-03121 für die biometrischen Komponenten der Grenzkontrolle zu nennen. Daneben arbeitet das BSI derzeit gemein-sam mit den operativen Behörden an den Prozessvorgaben für das hoheitliche Iden-titätsmanagement im Kontext EES. Geplant ist, dass diese Spezifikation in einer euro-päischen Version im Jahr 2020 für alle Mit-gliedsstaaten verfügbar sein wird.

Wo sehen Sie die größten Heraus-forderungen bei der Implementierung der Prozesse zur biometrischen Erfassung und Verifikation bei der Grenzkontrolle?Die EES-Verordnung geht bei den Vorgaben für biometrische Daten einen interessanten neuen Weg. Anstatt auf die im Bereich der Strafverfolgung übliche Erfassung aller zehn Fingerabdrücke zu setzen, sollen stattdessen nur vier Fingerabdrücke sowie das Lichtbild erfasst werden. Damit spielt das Lichtbild eine deutlich wichtigere Rolle, wie wir sie auch aus dem Bereich der Reisedokumente kennen, wo das Lichtbild als das zen-trale weltweit interoperable biometrische Merkmal etabliert ist. Die Qualität der bio-metrischen Erfassung an der Grenze wird daher ausschlaggebend für die Nutzbarkeit

Im Interview: Bernd Kowalski, Abteilungsleiter Cyber-Sicherheit in der Digitalisierung und für elektronische

Identitäten im Bundes-amt für Sicherheit in der

Informationstechnik (BSI)

17


Bernd Kowalski ist seit 2002 als Abteilungsleiter beim Bun-desamt für Sicherheit in der Informationstechnik (BSI) tätig. Seit April 2019 leitet er die beiden Abteilungen „Standardi-sierung und Zertifizierung” sowie “Cyber-Sicherheit in der Digitalisierung und für elektronische Identitäten”. Sein Auf-gabenbereich umfasst dabei alle Aspekte der BSI-Zertifizierung, der Betreuung grundlegender ID-Technologien und der Unter-stützung von Digitalisierungsprojekten der Bundesregierung, beispielsweise BSI-Zertifizierung nach Common Criteria, IT-Grundschutz-Zertifizierungen, den elektronischen Reisepass und Personalausweis und Cybersicherheitsaspekte in eHealth, Smart Metering / Smart Grids, Industrie 4.0, intelligente Trans-portsysteme und der digitalen Verwaltung.

Bernd Kowalski

Bundesamt für Sicherheit in der Informationstechnik

der gewonnenen Daten im europäischen Zentralsystem sein. Im Rahmen der Tech-nischen Richtlinie BSI TR-03121 definiert das BSI einen umfänglichen Anforderungskatalog an eine qualitativ hochwertige und zugleich ef f iziente Er fassung der biometrischen Merkmale im Grenzkontrollprozess. Die Industrie ist aufgefordert, im gesetzten Rahmen innovative Lösungen für alle An-wendungsszenarien zu entwickeln.

Werden sich Ihrer Einschätzung nach auch andere Mitgliedstaaten an den technischen Richtlinien des BSI orientieren?Aufgrund der erheblichen Komplexität der europäischen Vorhaben gehen wir davon aus, dass auch andere Mitgliedsstaaten unsere Vorgaben mit großem Interesse verfolgen werden. Die Technischen Richt-linien des BSI stehen auf unserer Webseite www.bsi.bund.de zur Verfügung. Das BSI definiert Vorgaben bewusst mit einem allgemeinen Fokus und ohne spezielle deutsche Besonderheiten, sie können für den entsprechenden Einsatzzweck profiliert werden.

SECUVIEW – 1 | 201918


Prof. Christoph Busch promovierte 1997 im Fachbereich Informatik an der Tech-nischen Universität Darmstadt. Im gleichen Jahr übernahm er die Abteilungsleitung Sicherheitstechnologie für Graphik- und Kommunikationssysteme am Darmstädter Fraunhofer-Institut für Graphische Datenverarbeitung (IGD).

Für das Fraunhofer-IGD ist Chris toph Busch tätig in der Standardi sierung biome-trischer Systeme als Obmann im DIN-NIA37. Er ist Head of German Delegation in der Plenary von ISO/IEC JTC1/ SC37 (Biometrics) und leitet die Working Group 3 (Biometric Data Interchange Formats).

Prof. Christoph Busch vertritt seit dem Sommersemester 2005 das Fachgebiet System Development an der Hochschule Darmstadt. Im Herbst 2007 wurde er zudem auf eine Professur am Norwegian Information Security laboratory (NISlab) berufen. Seit 2007 lehrt er ferner an der Technical University of Denmark (DTU).

Herr Busch, Sie beschäftigen sich seit langer Zeit mit Datenqualität im Bereich Biometrie. Können Sie einen kurzen Abriss Ihrer Forschung geben?Schon seit vielen Jahren ist die Bedeutung der Bildqualität von biometrischen Referenz-daten bekannt. Als die biometr ischen Pässe 2005 eingeführt wurden, hatten wir in Zusammenhang mit dem Standard ISO/IEC JTC1/ SC37 Technical Reports zu dem Thema erstellt und den damaligen Stand der Technik dokumentiert. Seit 2010 konnten wir gemeinsam mit dem US-amerikanischen Na-tional Institute of Standards and Technology (NIST), dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundeskrimi-nalamt, secunet und dem Fraunhofer-Institut für Graphische Datenverarbeitung (IGD) neue Algorithmen erforschen, die die Qualität von Fingerbildern messen. Diese Entwicklung (NFIQ 2.0) wurde im Jahr 2017 internationaler Standard (ISO/IEC 29794-4) und steht als Open Source zur Verfügung.

Wie bewertet man die Qualität von biometrischen Daten?Die Grundlage wurde schon mit dem Frame-work-Standard ISO/IEC 29794-1 gelegt, der für alle biometrischen Modalitäten die Vorgehensweise definiert. Der Qualitäts-wert („score“) soll prädiktiv für eine spätere Erkennung sein, d. h. ein guter Score sagt aus, dass eine Wiedererkennung zuverlässig möglich ist. Im NFIQ-2.0-Projekt haben wir erforscht, welche Merkmale aus dem Finger-bild relevant sind, um diese Aussage zu treffen. Die NFIQ-2.0-Software ist eine gute Lösung für optische Fingerbildsensoren.

Was sind die Besonderheiten im Umgang mit biometrischen Daten in großen Datenbanken?Bei Identif ikationslösungen bedingt die wachsende Größe der Datenbank nicht nur eine Verlängerung der Transaktionsdauer, sondern auch ein zunehmendes Risiko einer falschen Entscheidung, da naturgemäß die False-Positive-Identification-Rate (FPIR) mit der Größe der Datenbank linear wächst. Daher ist es umso wichtiger, dass nur Bilder von guter Qualität gespeichert werden.

Qualität ist wichtig – besonders bei biometrischen Referenzdaten

Interview mit Prof. Dr. Christoph Busch, Professor für Informatik / Biometrie am Norwegian Biometrics Laboratory

(NBL), Norwegian University of Science and Technology

(NTNU) und an der Hoch-schule Darmstadt (HDA)

Prof. Christoph Busch

https://christoph-busch.de/

19


Geysire, Gletscher und elektronische Reisepässe

Mit seinen urwüchsigen Landschaf ten zwischen aktiven Vulkanen und ewigem Eis lockt Island immer mehr Touristen aus aller Welt an. Doch es ist nicht allein der Islandtourismus, der für die ansteigenden Passagierzahlen des Flughafens Keflavik in der Nähe der Hauptstadt Reykjavik ver-antwortlich ist: Der Flughafen dient auch als Drehscheibe für Interkontinentalflüge zwischen Europa und Nordamerika. Aus diesen Gründen hat Island bereits vor Jahren begonnen, eine hochmoderne Grenzkon-trollinfrastruktur aufzubauen. Deren jüngste Ergänzung kommt allerdings vor allem Is-ländern zugute: Mit einer neuen Infrastruktur kann der Inselstaat hochsichere elektro-nische Identitätsdokumente (eID) an seine Bürger ausgeben und bei deren Ein- und Ausreise effizient prüfen.

Verantwortlich für das Projekt ist Registers Iceland (auf Isländisch „Þjóðskrá Íslands“), die Behörde, die das isländische Personen-standsregister betreibt. Sie suchte eine eID-Lösung, bei der die Sicherheit oberste Priorität genießt, so dass die Vertraulichkeit, Verfügbarkeit und Integrität der persönlichen Daten der isländischen Bürger jederzeit sichergestellt sind. Daher entschied sie sich, eine Public-Key-Infrastruktur (PKI) auf Basis der eID PKI Suite von secunet zu im-plementieren. Der hohe Sicherheitsstandard

dieser Lösung ist durch die Zertifizierung des CA-Kernels – einer zentralen Komponente, die bei der Vergabe elektronischer Zertifikate maßgeblich ist – nach Common Criteria EAL 4+ dokumentiert.

Registers Iceland erhielt von secunet eine schlüsselfertige PKI-Komplettlösung, die sämtliche Softwarekomponenten zum Schutz der biometrischen Daten der islän-dischen Bürger und zur Regelung der Zu-griffsrechte (EAC-PKI) umfasst – ebenso wie die Komponenten, die die Integrität und Au-thentizität der Reisedokumente sicherstellen (ICAO-PKI). Die Lösung lässt sich in großen Teilen flexibel konfigurieren, was den Ad-ministrationsaufwand im Betrieb gering hält und das System zukunftssicher macht. Der hohe Standardisierungsgrad erlaubt auch die Umsetzung zukünftiger gesetzlicher und technologischer Anforderungen.

Die neue PKI ist seit Kurzem auch an die automatisierten Grenzkontrollsysteme (eGates) angebunden, d ie bere i ts im Jahr 2017 am Flughafen Keflavik ihren Be-trieb aufgenommen haben. Diese secunet easygates können von isländischen Staats-bürgern, Angehörigen des Europäischen Wirtschaftsraums sowie Schweizer Staats-bürgern genutzt werden. Sie überprüfen effizient und sicher hoheitliche Dokumente optisch wie elektronisch auf ihre Echtheit, lesen das elektronische Gesichtsbild der Reisenden aus und vergleichen die bio-metrischen Daten mit einem Live-Bild.

Christian Rutigliano [email protected]

Warum sind Standards von Bedeutung für die Bewertung der Qualität von biometrischen Daten?Die internationalen Standards bieten die Möglichkeit, nicht nur Daten einfach aus-zutauschen, wie wir es mit den biometrischen Pässen seit 15 Jahren praktizieren. Die Verwendung von Standards in der Quali-tätsbewertung wird dazu führen, dass alle Länder, die zu einer großen gemeinsamen europäischen Biometrie-Datenbank zuliefern, ein einheitliches Qualitätsniveau erreichen können. Zudem werden problematische Vendor-Lock-in-Situationen in den EU-Mit-gliedsländern, also Abhängigkeiten von be-stimmten Zulieferern, vermieden.

Welche Auswirkungen hat eine schlechte Qualität von biometrischen Daten in Datenbanken?Eine schlechte Bildqualität birgt ein großes Risiko von hohen Fehlerraten, sowohl in der Falsch-Rückweisung (dadurch wird es unkomfortabel) als auch in der Falsch-Akzeptanz (dadurch wird es unsicher). Für Fingerbilder (mit ISO/IEC 29794-4) und für Irisbilder (mit ISO/IEC 29794-6) lässt sich diese Auswirkung vermeiden. Für Lichtbilder werden wir die Standardisierung von ISO/IEC 29794-5 in diesem Sommer starten. Ich freue mich über jeden Experten, der sich daran beteiligt.

SERVICEGEDANKE BEI DER IMPLEMENTIERUNG

„Neben der sehr guten Performance und einfachen Bedienbarkeit der PKI im ope-rativen Betrieb sind auch der Servicegedanke und das tiefgreifende Know-how des secunet Teams bemerkenswert“, sagt Þorvarður Kári Ólafsson, Programme Manager ID and Travel Documents bei Registers Iceland. „In diesem komplexen Projekt hatten wir stets jemanden an unserer Seite, der Herausforderungen umgehend und zu unserer vollsten Zufriedenheit gelöst hat – bei Bedarf auch kurzfristig vor Ort.“

SECUVIEW – 1 | 201920

In EIgEnEr SachE

Im Juni 2019 fand ein Wechsel an der Spitze von secunet statt: Dr. Rainer Baumgart, mehr als 18 Jahre lang Vorstands-

vorsitzender der secunet Security Networks AG, ging in den Ruhestand und über-

gab seine Position an Axel Deininger. secuview sprach

mit dem alten und dem neuen Vorstandsvorsitzenden über

die Vergangenheit und die Zukunft von secunet und der

IT-Sicherheitsbranche.

secunet erlebt den ersten Wechsel eines Vorstandsvorsitzenden seit 18 Jahren. Wie groß wird der Umbruch, der damit einhergeht?Deininger: secunet hat heute eine her-vorragende Marktposition inne. Wir sind in Deutschland der führende Anbieter von hochwertiger IT-Sicherheit für Behörden und Unternehmen. Zudem bewegen wir uns in einem positiven Marktumfeld. Auch im laufenden Jahr hat sich das Geschäft bisher gut entwickelt. All das zeigt, dass es sinnvoll ist, an vielen Stellen auf Kontinuität zu setzen. Aber natürlich werden wir auch einige Kurskorrekturen vornehmen, die uns organisatorisch und inhaltlich voranbringen, denn der Markt entwickelt sich weiter und liefert uns auch neue Geschäftschancen.

In welchen Bereichen stehen Änderungen auf dem Plan?Deininger: Zum Beispiel werden wir das In-dustriesegment im Kontext von Industrie 4.0 stärker adressieren. Bisher sind wir vor allem in regulierten Märkten gut aufgestellt. Für behördliche IT-Infrastrukturen etwa gelten strenge Sicherheitsvorgaben, wenn sensible oder eingestufte Informationen im Spiel sind. Solche sicherheitstechnisch anspruchsvollen Aufgaben zu lösen ist seit mehr als zwei Jahrzehnten das Kerngeschäft von secunet. Dazu gehören auch unsere Biometrie-Lösungen, die etwa bei der automatisierten Grenzkontrolle zum Einsatz kommen. Nun ist davon auszugehen, dass künftig weitere regulierte Bereiche hinzukommen werden. Bereits seit 2015 haben wir in Deutschland das IT-Sicherheitsgesetz, das Betreiber kritischer Infrastrukturen in die Pflicht nimmt, mehr für ihre Cybersicherheit zu tun. Weitere Regelungen werden folgen.

Aber auch in nicht-regulierten Märkten f indet ein Umdenken statt, schl ießl ich können IT-Sicherheitsvorfälle zu großen fi-nanziellen Einbußen führen. Und im Zuge der Digitalisierung werden immer mehr IT-Systeme vernetzt – auch mit dem Internet –,

die ursprünglich nie dafür konzipiert waren. Das beste Beispiel dafür ist die Industrie. Dort sind Maschinen zum Teil 30 Jahre und länger im Einsatz. Um die Vorteile der Digitalisierung auch dort voll auszuschöpfen, wird künftig jede Maschine und jedes Steuer-gerät vernetzt sein – was nur mit IT-Lösungen funktionieren kann, die das passende Sicher-heitsniveau herstellen.

Ein anderes Beispiel sind internationale Märkte. Zwar ist secunet schon seit vielen Jahren auch außerhalb Deutschlands ak-tiv, vor allem im europäischen Ausland und im NATO-Umfeld. Doch unser Engagement in diesen Märkten ist durchaus ausbau-fähig. Überall wächst der Bedarf an Cyber-sicherheit, und wir haben genug Referenzen, um uns auch international zu empfehlen, auch in staatlich nicht regulierten Bereichen.

Und wo ist Kontinuität zu erwarten?Deininger: Zum einen werden wir unser starkes Geschäft mit IT-Sicherheit für öffent-liche Auftraggeber auf bewährte Weise fort-führen. Zum anderen hat sich secunet seit jeher auch über seine Nähe zu Universitäten und Forschungseinrichtungen definiert. Wir unterhalten zum Beispiel gute Beziehungen zum Horst-Görtz-Institut in Bochum, zum Institut für Internet-Sicherheit if(is) in Gelsen-kirchen, zur Technischen Universität Dresden oder zur Technischen Universität Ilmenau, um nur einige Einrichtungen zu nennen. Diese Nähe zur Wissenschaft wollen wir unbedingt beibehalten, denn sie ist einer der Schlüssel für unsere Innovationskraft. Der andere Schlüssel ist unsere Fähigkeit, die richtigen Mitarbeiter zu gewinnen und zu binden.

Bestand aus diesen Zutaten auch das Rezept, um secunet vom Start-up zum Marktführer zu machen?Baumgart: Sie gehörten auf jeden Fall dazu. Noch zur Zeit des Börsengangs im Jahr 1999 beschäftigte sich secunet, ur-sprünglich eine TÜV-Ausgründung, als einer

Kein Mangel an Zukunftsthemen

21

In EIgEnEr SachE

Axel Deininger (links) und Dr. Rainer Baumgart

Axel Deininger ist seit Januar 2018 im Vorstand der secunet Security Networks AG und übernahm im Juni 2019 den Vor-sitz. Vor seiner Zeit bei secunet war er mehr als zehn Jahre für die Münchener Unternehmensgruppe Giesecke+Devrient tätig, zuletzt als Group Senior VP und Head of Division Connectivity & Devices der G+D Mobile Security GmbH. Stationen in der Karriere des Wirtschaftsingenieurs waren unter anderem Siemens AG, Infineon Technologies AG sowie Samsung Semiconductor Europe GmbH.

Dr. Rainer Baumgart war seit der Unternehmensgründung im Jahr 1997 für secunet tätig und gehörte seit der Umwandlung des Unter-nehmens in e ine Ak tiengesel l -schaft im Jahr 1999 dem Vorstand an, dessen Vorsitz er 2001 über-nahm. Der promovierte Physiker war vor seiner Zeit bei secunet für den RWTÜV tätig und leitete ab 1995 den Bereich Informationssicherheit bei der TÜV IT GmbH in Essen.

von vielen Anbietern mit der Absicherung von IT-Netzwerken durch kryptographische Mechanismen. Indem wir die richtigen Ex-perten an Bord holen konnten, waren wir in der Lage, unser Portfolio zu erweitern – zum Beispiel durch Public-Key-Infrastrukturen (PKI), die in staatlich geprüften Trust Centern zur Zertifikatsvergabe eingesetzt wurden. Die breitere Aufstellung half uns unter anderem, das Platzen der Dotcom-Blase zu über-stehen – und uns aus der Nische zu befreien.

Anfang der Nullerjahre haben wir im Auf-trag des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Sicherheits-architektur SINA entwickelt – das war ein Meilenstein. SINA sorgt heute in zahlreichen Behörden für Hochsicherheit. Das Jahr 2004 brachte dann für secunet zwei bedeutsame Veränderungen: Zum einen wurden wir IT-Sicherheitspartner der Bundesrepublik. Zum anderen brachte uns der Einstieg des neuen Mehrheitsaktionärs Giesecke+Devrient

weitere Stabilität. Diese Konstellation hat bis heute Bestand. Mit der Beteiligung an großen Infrastrukturprojekten öffentlicher Institutionen wie ELSTER, den „Netzen des Bundes“ (NdB) oder dem Führungs-informationssystem der Bundeswehr konnten wir unsere Fähigkeiten unter Beweis stellen.

Wichtig für secunet war und ist auch die Kooperation mit institutionellen Partnern: Mit dem BSI verbindet uns eine langjährige gute Zusammenarbeit. Auch zu der

SECUVIEW – 1 | 201922

In EIgEnEr SachE

europäischen Cybersicherheitsagentur ENISA unterhalten wir gute Beziehungen. Darüber hinaus haben uns Technologie-partner wie atmedia, S.I.E oder Siemens geholfen: Sie versetzen uns in die Lage, unseren Kunden Komplettlösungen aus Hard- und Software anzubieten.

Lässt sich die Entwicklung, die secunet genommen hat, auch auf die IT-Sicherheit als Ganzes übertragen?Baumgart: Das kann man schon so sagen. Vor 30 Jahren war IT-Sicherheit noch etwas für Nerds. Aber die Zeit hat den Nerds Recht gegeben. Nach und nach wurde vielen Menschen bewusst, dass das Thema IT-Sicherheit in Deutschland und Europa ein entscheidender Aspekt ist, um eine nationale oder europäische Souveränität zu gewähr-leisten. Daher ist die noch junge IT-Sicher-heitsbranche gewachsen und hat sich immer stärker professionalisiert.

Aber ich bin auch überzeugt: Wir stehen erst am Anfang, und richtig spannend wird es erst noch. Es gibt neue Herausforderungen und drängende Fragen, die gelöst werden müssen. Insbesondere die Entwicklungen rund um die Postquantenkryptographie ver-folge ich mit Interesse. Wenn künftig leis-tungsfähige Quantencomputer verfügbar sein werden, müssen kryptographische Ver-fahren diesen standhalten können. Daher ist die Verschlüsselungstechnologie gerade dabei, sich noch einmal neu zu erfinden. Später wird man die letzten Jahrzehnte vielleicht als die prähistorische Phase der IT-Sicherheit einordnen. Es hat Spaß gemacht, dabei gewesen zu sein.

Herr Deininger, welche Zukunftsthemen stehen neben Postquantenkryptographie konkret auf dem To-Do-Zettel?Deininger: Ein Thema, das direkt vor der Tür steht, ist 5G. Der neue Mobilfunkstan-dard bietet erstmals die Möglichkeit, krypto-graphische Sicherheitsmechanismen aus der klassischen IT-Welt Ende-zu-Ende im Mobilfunk einzusetzen. Auch wird Biometrie künftig noch weiter an Bedeutung gewinnen. Schließlich kann sich niemand 50 Pass-wörter merken! Mobile Applikationen sind ein weiteres Thema: Mit der Fahndungs-App für die Bundespolizei haben wir gezeigt, dass

Apps in Bereichen, bei denen es auf hohe Sicherheit ankommt, umsetzbar sind. Darauf wollen wir aufbauen. Im Gesundheitsmarkt sind wir mit dem secunet konnektor bereits erfolgreich vertreten, die nächsten Weiter-entwicklungen stehen kurz bevor. Auch das Thema Automotive Security, seit Langem ein Betätigungsfeld von secunet, wird mit der schrittweisen Realisierung des autonomen Fahrens und der immer stärkeren Vernetzung der Fahrzeuge künftig noch bedeutsamer.

Natürlich darf in dieser Aufzählung Künst-liche Intelligenz nicht fehlen. KI wird ganz sicher für einige Umwälzungen in der IT und darüber hinaus sorgen. Hacker werden ver-suchen, sie für sich zu nutzen, aber wir werden das auch tun. Ein weiteres Thema: Cloud Security wird eine immer stärkere Rolle spielen, sowohl für Unternehmen als auch für Behörden. Daher haben wir kürzlich gemeinsam mit der Cloud & Heat Techno-logies GmbH das Joint Venture SecuStack gegründet, das Cloud-Lösungen für sicher-heitskritische Anwendungen bietet und es damit manchen Kundengruppen erstmals ermöglicht, in die Cloud zu gehen. An zu-kunftsträchtigen Themen herrscht im IT-Sicherheitsumfeld kein Mangel. Auch die Industrie 4.0, die ich eingangs erwähnt habe, gehört prominent dazu. Ich freue mich darauf, all diese Themen gemeinsam mit den secunet Kolleginnen und Kollegen anzugehen und blicke optimistisch in die Zukunft.

Herr Baumgart, welchen Ratschlag geben Sie Ihrem Nachfolger mit auf den Weg?Baumgart: Aus meiner Sicht hat es sich immer ausgezahlt, den partnerschaftlichen Gedanken im Blickfeld zu behalten und auf eine Zusammenarbeit zwischen Privat-wirtschaft, Behörden, Wissenschaft und Forschung zu setzen. Die deutsche IT-Sicherheitsbranche und die öffentlichen Instanzen in ihrem Umfeld sind durchaus von gegenseitigem Respekt und Kooperations-willen geprägt, was ich immer positiv fand. Denn so ist es einfacher, die teilweise recht komplexen Herausforderungen, vor denen wir standen und vor denen die IT-Sicherheit immer stehen wird, zu lösen.

Womit werden Sie sich in nächster Zeit beschäftigen?Baumgart: Vor allem werde ich mehr Zeit mit meiner Familie verbringen, worauf ich mich sehr freue. Vielleicht sind meine Enkelkinder bisher etwas zu kurz gekommen. Außerdem habe ich einen alten Porsche Traktor, der dringend repariert und restauriert werden möchte. Mir wird bestimmt nicht langweilig.

Vielen Dank Ihnen beiden für das Gespräch.

DER NEUE SECUNET VORSTAND

Seit dem 1. Juni 2019 besteht der Vorstand der secunet Security Networks AG neben dem Vorstandsvorsitzenden Axel Deininger aus Torsten Henn, Dr. Kai Martius und Thomas Pleines. Dabei wurden Chief Operating Officer (COO) Torsten Henn und Chief Technical Officer (CTO) Dr. Kai Martius, die dem Unternehmen seit vielen Jahren an-gehören, neu in den Vorstand berufen. Chief Financial Officer (CFO) Thomas Pleines ist bereits seit dem Jahr 1999, als das Unternehmen in eine Aktiengesellschaft umgewandelt wurde, Vorstandsmitglied.

23

tEchnologIEn & löSUngEn

Landmaschinen haben ein Entwicklungsniveau erreicht, das sich auf traditionellem Wege kaum mehr steigern lässt. Um sich

weiterhin führend am Markt zu positionieren, fokussiert

der Landmaschinenher-steller CLAAS daher auf

neue und zukunftsweisende Geschäftsfelder. Dazu bietet

die umfassende Digitalisierung Anlass, die die Agrarwirtschaft mittlerweile erfasst hat – zwar

später als andere Sektoren, aber dafür umso gründlicher,

denn sie verspricht weitere große Ertrags- und Effizienz-

vorteile. Um das Potenzial dieser Entwicklung voll nutzen

zu können, investiert CLAAS in IT-Sicherheit und hat unter

anderem eine Public-Key-Infrastruktur (PKI) als zentrale kryptographische Instanz für

alle Dienste etabliert.

Schon der hohe und ständig wachsende An-teil von Elektronik und Software in den Land-maschinen zeigt es: Die digitale Revolution auf dem Acker ist in vollem Gange. Heute sind Landmaschinen untereinander, mit dem IT-Backend oder auch mit dem IT-System in der Cloud vernetzt. Dafür stimmen mitt-lerweile auch wichtige Rahmenbedingungen: So wurde etwa die Mobilfunkversorgung im landwirtschaftlichen Bereich stark aus-gebaut.

Ein Anwendungsszenario, das die Land-wirtschaft derzeit stark verändert, ist das Smart Farming oder Precision Farming. Dabei lassen sich Unterschiede der Boden-beschaffenheit sogar innerhalb eines Feldes auswerten und durch optimale Bewir t-schaftung ausnutzen. Daneben können digitale Prozesse den Alltag von Agrar-betrieben auf vielfältige Weise effizienter gestalten: Beim Parallel Driving werden Landmaschinen automatisiert und GPS-ge-steuert Spur an Spur über das Feld geführt. Predictive Maintenance analysiert den Zu-stand von landwirtschaftlichen Geräten, so dass Wartungsarbeiten genau dann statt-finden können, wenn sie auch tatsächlich er-forderlich sind. Softwareupdates oder auch die Freischaltung weiterer Dienste und Funk-tionen lassen sich over the air durchführen, was Zeit und Aufwand spart.

Drahtlose DatenübertragungCLAAS bietet seinen Kunden digita le Dienste für diese und andere Anwendungs-szenarien und entwickelt sie ständig weiter. Die technische Realisierung der Dienste macht es notwendig, Daten unter anderem über drahtlose Schnittstellen zu übertragen, beispielsweise per Mobilfunk oder WLAN. Diesen Datenverkehr gilt es zu schützen: Um Manipulation auszuschließen, muss jeder-zeit sichergestellt werden, dass die Daten von vertrauenswürdigen CLAAS Instanzen stammen. Zudem kann der Schutz personen-gebundener Daten und geistigen Eigentums von CLAAS eine Verschlüsselung von Daten notwendig machen. Ein weiterer wesentlicher Aspekt ist die Absicherung der CLAAS Land-maschinen gegen Hackerangriffe.

IT-Sicherheit ist aus der Welt des Internets und der Unternehmens-IT wohlbekannt – für Landmaschinen jedoch ein relativ neues Feld. CLAAS hat daher Anfang 2016 das Projekt Security@CLAAS gestartet, um den Anforderungen an die IT-Sicherheit für die vernetzten CLAAS Maschinen und Dienste gerecht zu werden. Das unternehmens-weit angelegte Cybersicherheitsprogramm zielte auf die ganzheitliche Absicherung der verschiedenen digitalen Use Cases gegen unberechtigte Manipulation und den Schutz vertraulicher Daten.

DIGITALE REVOLUTION DER LANDWIRTSCHAFT

Ackerbau und IT-Sicherheit

Precision Farming erlaubt es Land-wirten, Teilflächen eines Feldes je

nach Bodenbeschaffenheit optimal zu bewirtschaften, indem sie zum

Beispiel unterschiedliche Mengen von Mineraldünger ausbringen.

SECUVIEW – 1 | 201924


Im September 2018 konnte CLAAS das Projekt erfolgreich abschließen. „Mit Security@CLAAS haben wir einen spür-baren Veränderungsprozess im gesamten Unternehmen angestoßen“, sagt Thomas Ehl, Projektleiter bei CLAAS. „Nach der Anfor-derungsaufnahme in Form von Workshops, einer Risikoanalyse und der Erstellung eines Sicherheitskonzepts für die Einsatzszenarien haben wir ein Security-Manifest entwickelt und etabliert, das als unternehmensweite Norm für die Absicherung von Funktionen und Diensten fungiert.“

PKI als zentrale TechnologieDer letzte Meilenstein war die Einführung einer CLAAS Produkt-PKI (Public-Key-Infrastruktur). Dieser zentrale Dienst für kryptographische Funktionen generiert elektronische Zertifikate, die belegen, dass bestimmte Daten von einer vertrauenswürdigen Quelle stammen,

und regelt den Zugriff auf diese Daten. PKI-Lösungen haben sich in anderen Bereichen, in denen es auf die Vertraulichkeit und Integrität von Daten ankommt, seit vielen Jahren bewährt: Bei der Grenzkontrolle sorgen sie beispielsweise dafür, dass die Echtheit elek-tronischer Identitätsdokumente zuverlässig und schnell festgestellt werden kann. Auch bei HTTPS-basierten Webservern, die zum Beispiel für Online-Banking genutzt werden, kommen PKI-gestützte Prozesse zum Einsatz. PKI-Lösungen laufen meist – so auch bei der CLAAS Lösung – automatisiert im Hintergrund ab, weitgehend unbemerkt vom Endnutzer.

Bei der Etablierung der IT-Sicherheits-maßnahmen wurde das CLAAS Projekt-team maßgeblich von secunet unterstützt. „secunet lieferte sowohl konzeptionelle Anteile als auch die Technologie für die CLAAS Produkt-PKI“, so Ehl. „Speziell die Flexibilität und leichte Integrierbarkeit dieser

In secuview 2 / 2016 stellte Thomas Böck, Mitglied der Konzernleitung der CLAAS Gruppe und verant-wortlich für das Ressort Techno-logie und Systeme, das Projekt Security@CLAAS im Rahmen eines Interviews vor. Interessierte können die Ausgabe unter dem folgenden Link als PDF herunterladen: http://www.secunet.com/secuview

25


Beim Parallel Driving werden Land-maschinen, hier Mähdrescher, GPS-unterstützt über das Feld geführt.

Digitale Technologien helfen bei der Kartierung von Erträgen.

Technologie in die CLAAS IT-Systeme hat hierfür den Ausschlag gegeben. Die Fle-xibilität zahlte sich insbesondere in der Start-of-Production-Phase der vernetzen Elektronikkomponenten aus: secunet konnte dabei noch in letzter Minute Anpassungen vornehmen. Zudem ist die Geschwindig-keit hervorzuheben, in der die CLAAS Produkt-PKI etabliert wurde: Vom Start der Implementierung bis zur Inbetriebnahme ver-gingen gerade einmal sechs Wochen.“

Eine wichtige Voraussetzung für den Erfolg eines solchen Projekts war von Anfang an gegeben: „Wir wurden konsequent durch das CLAAS Management unterstützt“, sagt Harry Knechtel, Projektleiter auf Seite von secunet. „Auch die Zusammenarbeit mit dem engagierten Projektteam und die ziel-orientierte abteilungsübergreifende Koope-ration waren überdurchschnittlich gut.“

Nur ein AusgangspunktWie so oft in der IT gilt: Der erfolgreiche Ab-schluss des Projekts kann kein Schlusspunkt für die Implementierung von IT-Sicherheit bei CLAAS sein. Auch die Angreifer schlafen nicht, daher muss die Messlatte ständig höher gehängt werden. Zwar wurde mit dem Projekt Security@CLAAS eine zukunftsori-entierte Architektur geschaffen, die auch die Absicherung künftiger Anwendungen ab-decken kann. Aber sie darf letztlich nur als Ausgangspunkt für einen kontinuierlichen Verbesserungsprozess verstanden werden, den CLAAS nun mit Leben füllen wird.

Alexander Kruse [email protected]

SECUVIEW – 1 | 201926


Penetrationstests, auch Pentests genannt, gehören mittlerweile in den klassischen IT-Bereichen wie etwa Websites und -services oder IT-Infrastruktur nicht nur zum guten Ton, sondern stellen eine zwingend notwendige Maßnahme für den jeweiligen Betreiber dar. Nachdem sich das moderne Fahrzeug in den letzten Jahren immer stärker zu einer mobilen vernetzten Infrastruktur entwickelt hat, ist auch hier der Bedarf gestiegen, Fahrzeug-Penetrationstests entwicklungsbegleitend und regelmäßig durchzuführen. Dies ist not-wendig, da sich Angriffe auf Fahrzeuge immer größer werdender Beliebtheit erfreuen.

Über einige dieser Angriffe wurde in den Medien prominent berichtet: Dazu gehören zum Beispiel die sogenannten Relay- Angriffe, die es Kriminellen ermöglichen können,

Fahrzeuge mit Keyless-Go-Systemen zu stehlen, oder der berühmte Jeep Hack, bei dem Sicherheitsforscher die Kontrolle über ein gesamtes Fahrzeug übernommen haben. Daneben gibt es viele weniger bekannte Fälle: Aus den verschiedensten Gründen – Tuning, Fahrzeugdiebstahl, aka-demische Neugier oder Anerkennung in der Hacker-Community – haben sich Gruppen auf das Hacken aktueller Fahrzeuge spezia-lisiert. Da der Prestige-Schaden eines ge-lungenen und veröffentlichten Angriffs vor allem die Fahrzeugmarke trifft, sind es ins-besondere die OEMs (Original Equipment Manufacturer, Fahrzeughersteller), die zuneh-mend in Cybersicherheit investieren. Zudem stehen die OEMs dem Endkunden gegen-über in der Produkthaftung.

AUTOMOTIVE SECURITY

Sicherheit effizient testen – durch mehr Standardisierung

Das vernetzte Fahrzeug ist ein attraktives Ziel für Hacker.

27


CONTINENTAL UND ARGUS

„Protect, Detect and React to Prevent, Understand and Respond”: Entlang dieser Paradigmen bietet Continental seinen Kunden nicht nur Pentests, sondern um-fassende Cybersicherheitslösungen – von Stoßstange zu Stoßstange. Um dies bis Ende 2017 zu erreichen, übernahm Continental das innovative Automotive Cyber Security Start-up Argus.

Da die Ansätze zum Schutz des Fahr-zeugs, vor allem im Bereich der Verif i-kat ion – dazu zäh len unter anderem Penetrationstests – jedoch von Hersteller zu Hersteller sehr unterschiedlich sind, stellt dies insbesondere die Zuliefererindustrie vor gewaltige Herausforderungen: Sie müssen die verschiedenen Vorgaben der Hersteller erfüllen. Dies ist besonders schwierig, wenn das betroffene Produkt eine Plattform dar-stellt, bei der die Gemeinsamkeiten in der Entwicklung erst einen Wettbewerbsvorteil im stark vom Preisdruck getriebenen Fahr-zeugmarkt erzeugen.

Die Division Chassis & Safety der Conti-nental AG ist von dieser Entwicklung bereits seit einiger Zeit betroffen. So müssen Steuer-geräte, die für verschiedene Hersteller gleich-artig konzipiert sind, dennoch für die meisten Hersteller (OEMs) individuell getestet werden. Dabei qualifiziert jeder Hersteller seine ei-genen Werkzeuge (etwa für Robustheits-tests) und fordert Continental damit nicht nur auf, diese zu erwerben, sondern auch durchgehend einsatzfähig zu halten. Auch die Schulung der Mitarbeiter für die ver-schiedenen Werkzeuge stellt eine Heraus-forderung für die Zuliefererindustrie dar. Hinzu kommen unterschiedliche Ansprüche an die Umsetzung von Pene trationstests. Während sich im Bereich der Netzwerk-Pentests mittlerweile eine al lgemein anerkannte Tool-Landschaft etabliert hat, lassen im Auto-motive-Bereich die unterschiedliche Sicht-weise der OEMs sowie die stark heterogene Technologielandschaft bisher kaum eine sinn-volle Automatisierung zu. Dabei wäre diese in Zeiten von kürzer werden Release-Zyklen und Over-The-Air-Updates nötiger denn je.

Michael Gerhard Schneider, Head Of Cyber Security in der Business Unit VED der Division Chassis & Safety der Continental AG, qualifiziert daher bereits seit Anfang 2018 auf Basis von Erfahrungen des Corporate Cyber Security Competence Center (SCC) geeignete Werkzeuge, mit denen sich die verschiedensten Anforderungen hersteller-übergreifend erfüllen lassen. Ein wichtiges Kriterium ist dabei, dass solche Werkzeuge in der Lage sein müssen, durch Erweiterungen stetig neue Testfälle und Schnittstellen ab-zudecken und ohne Migration auch neue Trends und Technologien abzubilden.

Zu diesem Zweck arbeitet die VED (Vehicle Dynamics) Business Unit Cyber Security auch eng mit ihrem Zulieferer secunet zu-sammen. Die Kooperation startete bereits Mitte des Jahres 2018. Zunächst wurden die bekannten Herstelleranforderungen kon-solidiert. Diese flossen in den Funktions-umfang eines Produkts ein, das sich zu dem Zeitpunkt noch in Entwicklung befand: die secunet redbox, ein Werkzeug für auto-matisierte Sicherheitstests in heterogenen Projektlandschaften.

Die secunet redbox baut auf der Erfahrung und Technologie auf, mit der secunet zuvor schon jahrelang OEMs bei Penetrationstests und Freigabeprozessen von Steuergeräten unterstützt hat. Das Tool bündelt damit das Automotive-Pentest-Know-how und die spe-zifisch für diesen Markt entwickelte Toolchain von secunet.

In einem Workshop mit Daniel Hrisca, Pentestexperte der Business Unit Vehicle Dynamics der Continental AG, konnte sich Continental ein Bild davon machen, wie sich die secunet redbox um Continental-

spezifische Anwendungsfälle erweitern ließ: Mehrere Experten von secunet und Con-tinental implementierten dafür in einem gemeinsamen dreitägigen Hackathon in Frankfurt am Main erfolgreich eine neue Continental-spezifische Schnittstelle in eine frühe Entwicklungsversion der secunet redbox. Der Beweis zur kundenspezifischen Erweiterbarkeit war damit erbracht.

Einen weiteren Meilenstein erreichte das Projekt im Frühjahr 2019. Über die Dauer von zwei Wochen demonstrierte secunet die Stärken der secunet redbox an einem kürzlich fertiggestellten Bremsensteuer-gerät. Die Besonderheit dabei lag darin, dass das Steuergerät unter anderem durch eine von einem OEM vorgegebene Test-methode untersucht werden musste und somit eine direkte Vergleichbarkeit mit anderen Testwerkzeugen hergestellt werden konnte. Nachdem das Steuergerät mit Unter-stützung von Roopashree Dheenadayalan, Security-Testerin bei Continental, in Betrieb genommen worden war, konnte die secunet redbox mehr Findings bei der automatisierten Prüfung auf mögliche Schwachstellen auf-zeigen als das zuvor eingesetzte Werkzeug.

Dieses Ergebnis überzeugte Continental. Es zeigt zudem, dass es sich lohnt, im Be-reich des Security- und Robustness-Testings eine stärkere Standardisierung zuzulassen. Denn nur so kann eine starke Automotive Security Community entstehen, die sich in Zukunft herstellerübergreifend dafür ein-setzen kann, die Straßen vor Cyberangriffen zu schützen.

Alexander Siegel [email protected]

SECUVIEW – 1 | 201928


SICHERE VERNETZUNG IN DER INDUSTRIE 4.0

Am Rande des Netzwerks

Die Digitalisierung von Produktionsumgebungen ist ein zwei-schneidiges Schwert: Betreiber profitieren von neuen Möglich-

keiten, werden aber auch unerbittlich mit neuen Heraus-

forderungen konfrontiert. Mit secunet edge liegt eine

Lösung vor, die vernetzte Maschinen absichert – und

darüber hinaus weitere Fragen beantwortet, die sich in der

Industrie 4.0 stellen.

Eine Folge der Digitalisierung in der Indus-trie ist es, dass die ursprünglich getrennten Welten der Informationstechnologie (IT) und der operativen Technologie (OT) immer stärker miteinander verzahnt sind. So werden Maschinen mittlerweile aus der Prozess-IT zentral gesteuert und überwacht, arbeiten mit IKT-Systemen aus der Business-IT zu-sammen und sind auf IT-Dienstleistungen außerhalb der eigenen Organisationsgrenzen angewiesen. Doch dieser hohe Konnektivi-tätsgrad führt unweigerlich zu neuen Heraus-forderungen. Heute müssen sich Betreiber mit IT-Bedrohungen auseinandersetzen, die in der früheren Arbeitswelt von Ingenieuren und Technikern nicht präsent waren.

Zudem unterstreicht der Gesetzgeber die Notwendigkeit, solchen Bedrohungen vorzubeugen, und erlässt Vorgaben, Re-gulierungen und Empfehlungen. Beispiele dafür sind das IT-Sicherheitsgesetz, die Verordnung zur Bestimmung Kritischer In-frastrukturen des Bundesamts für Sicherheit in der Informationstechnik (BSI-KritisV) oder die BSI-Empfehlung zur IT in der Produktion (BSI-CS 005). Mit diesen Maßnahmen wird letztlich der hohe Schutzbedarf der Kom-ponenten in sensiblen Netzbereichen der Produktionsumgebung festgestellt. An-lagen und Maschinen erfordern demnach einen umfassenden Schutz vor IT-Einflüs-sen, gleichzeitig jedoch eine Vernetzung zur

29


Umsetzung neuer datengetriebener Betriebs-prozesse. Wie kann ein solch paradox er-scheinender Anspruch erfüllt werden?

Lange Lebenszyklen, hohes RisikoFür Maschinen, die in der Prozess-IT (PIT) betrieben werden, sind Lebenszyklen von mehr als 30 Jahren typisch. Untypisch dagegen sind Modifikationen von Kom-ponenten, um Maschinen und Anlagen gegen aktuelle IT-Bedrohungen zu wappnen. Der Grund dafür ist, dass Betreiber das Aus-fallrisiko durch solche Modifikationen als zu hoch einstufen. Die Devise lautet: Never change a running system. Allerdings wird dabei das Risiko, das die Vernetzung un-geschützter veralteter Technologie mit sich bringt, unterschätzt. In Gefahr gerät nicht nur der einwandfreie Betrieb der Maschine selbst. Auch andere Teilnehmer im Netzwerk sind gefährdet, zudem können sich Einfalls-tore für potentielle Cyberattacken öffnen. Daher besteht Handlungsbedarf, Maschinen

das notwendige IT-Sicherheitsniveau zu ver-leihen. Wie akut dieser Handlungsbedarf ist, zeigen einige Sicherheitsvorfälle, die zuletzt bekannt geworden sind: etwa die Sicher-heitslücke in der Fernwartungsfunktion ak-tueller sowie bereits nicht mehr mit Updates versorgter Betriebssysteme. Ein weiteres Beispiel ist die erfolgreiche Manipulation maschinenerzeugter Daten medizinischer Geräte, die durch einen fehlenden Schutz übertragener Informationen möglich wurde.

Doch es würde zu kurz greifen, den Fokus allein auf die nötige Absicherung von Maschinen zu legen. Es gibt noch weitere Baustellen: Etwa bestehen heute weiter-gehende Ansprüche an die Vernetzung, die so noch gar nicht bedient werden. Reicht es aus, Maschinen kabelgebunden per LAN an die Infrastruktur anzubinden oder sollte vielmehr die Mobilität der Maschine gewahrt werden, wozu eine drahtlose Verbindung per WLAN oder Mobilfunk notwendig ist? Wie können künftig neue Schnittstellen und

Standards wie 5G genutzt werden? Und wie lässt sich die Anbindung von Maschinen an beliebige interne und externe Dienste oder Plattformen in den jeweils individuellen An-wendungsfällen umsetzen?

Ein ganzheitliches Konzept sollte – neben der akut notwendigen Absicherung ver-netzter Maschinen – auch diese und ähnliche Fragen beantworten. Gefragt ist ein Ansatz, der folgende Aspekte vereint:

■ „Protect“: sichere Vernetzung und reglementiertes Kommunikationsverhalten von Maschinen

■ „Connect“: Einsatz von Software von Drittanbietern zur flexiblen Integration der Maschinen in Anwendungsfälle des Internet of Things (IoT) und der Industrie 4.0

■ „Detect“: Security Monitoring der Maschinen und Kommunikation zur Stärkung der Abwehr von Cyberangriffen

Betreiber von Industrieanlagen müssen sich heute mit IT-Bedrohungen auseinandersetzen, die in der früheren Arbeits-

welt von Ingenieuren und Technikern nicht präsent waren.

SECUVIEW – 1 | 201930


Protect: Absicherung und sichere Vernetzung von MaschinenDie Funktionsweise der PIT mit ihren Maschinen und Anlagen unterscheidet sich stark von der klassischen IT. Dies gilt es bei der Adaption der Sicherheits-strategie zu berücksichtigen. Nur so kann ein angemessener Schutz vor äußeren Einflüssen erreicht werden und gleichzeitig eine kontrollierte und sichere Vernetzung stattfinden. Durch eine Entkopplung des Lebenszyklus von Maschinen und Anlagen von dem der IT-Umgebung lässt sich auch für Systeme in diesem Bereich der Infrastruk-tur ein hohes Sicherheitsniveau erreichen.

Daher setz t das Sicherhe i tssystem secunet edge, das speziell für das indus-trielle Umfeld konzipiert und entwickelt wurde, an der kr i t ischen Schnit tstel le zwischen der Maschine und dem Netzwerk an. Durch eine Mikro-Segmentierung des Netzwerks arbeitet die mit dem Sicherheits-system verbundene Maschine isoliert vor äußeren Einflüssen in ihrem eigenen Netz-segment. Anders gesagt: secunet edge legt sich wie eine Schutzhülle um die Maschine. Die ein- sowie ausgehende Kommunikation nimmt stets den Weg über das Sicherheits-system, wodurch der Datenfluss zwischen den Netzsegmenten vollständig steuer- und kontrollierbar wird. Entsprechend kann der verbundenen Maschine ein hohes Sicher-heitsniveau gewährt und dieses auch stets aufrechterhalten werden. Zudem ist lediglich das gehärtete und minimierte Betriebs-system des Sicherheitssystems von schnell-lebigen Update-Zyklen betroffen. Dadurch lassen sich Updates problemlos durch-führen, so dass das Gesamtsystem stets auf aktuellem Stand ist, ohne dass Neben-wirkungen oder Auswirkungen auf die Ver-fügbarkeit der Maschine in Kauf genommen werden müssten.

Die langen Laufzeiten von Maschinen bringen es mit sich, dass deren Daten-übertragung oft auf Protokollen basiert, die nicht mehr als sicher gelten. Daher lässt sich weder die Vertraulichkeit noch die Au-thentizität der ausgetauschten Informationen nachweisen. Dies ist problematisch, da

ver fälschte Informationen, die von der Maschine an eine Leitste l le gesendet werden, falsche Annahmen über den Be-trieb der Maschine hervorrufen. Manipulierte Steuerbefehle, die an die Maschine über-tragen werden, können sogar eine un-mittelbare Gefahr für das Betriebspersonal bedeuten. Entsprechend wichtig ist der Schutz übertragener Informationen in der PIT. Allerdings ist ein Nachrüsten geeigneter Maßnahmen schwierig, gerade wenn Daten noch über veraltete Schnittstellenstandards übertragen werden. Ein in secunet edge in-tegrierter Protokollübersetzer löst dieses Problem. Eine ungesicherte Übertragung der Daten im Netzwerk findet nur noch auf der minimalen Strecke zwischen Maschine und Sicherheitssystem (secunet edge) statt. Von dort an erfolgt die Übersetzung on-the-fly, beispielsweise vom unsicheren File Transfer Protocol (FTP) in die sicheren Protokoll-varianten SFTP oder FTPS.

Connect: flexible Integration von Maschinen in IoT- und Industrie-4.0-AnwendungsfälleIst eine sichere Vernetzung gegeben und damit gleichsam ein stabiles Fundament geschaf fen, stehen die Betre iber vor neuen Herausforderungen. Denn nicht nur die in einer Produktionsumgebung ein-gesetzten unterschiedlichen Technologien, Protokolle oder Übertragungstechniken steigern die Komplexität. Auch möchten di-verse Interessenten aus unterschiedlichen Gründen auf Maschinen bzw. auf deren Informationen zugreifen. Möglicherweise sollen zur Optimierung eigener Prozesse sowie zur Minimierung von Ausfallzeiten maschinenerzeugte Daten an IoT-Platt-formen übertragen und analysiert werden. Oder Techniker sollen aus Kostengründen die Maschinen aus der Ferne über das In-ternet warten. Bei solchen Anforderungen ist eine sichere und kontrollierte Anbindung der Maschinen an interne und externe Dienste vonnöten.

Das Sicherheitssystem secunet edge enthält ein modulares Plattform-Konzept in Form einer Ausführungsumgebung für

Applikationen. Anwendungen, die darin aus-geführt werden, beispielsweise Agenten von IoT-Plattformen, Anwendungen zur Daten-vorverarbeitung oder zur Kommunikation mit internen Diensten, erhalten einen kon-trollierten Zugrif f auf Informationen ver-bundener Maschinen und können diese sicher und gerichtet an den jeweiligen Dienst übermitteln bzw. davon entgegennehmen. Der entscheidende Vorteil eines solch of-fenen und modularen Plattform-Konzepts: Die Gesamtkomplexität verringert sich durch die Bündelung benötigter Anwendungen auf einer Edge-Computing-Plattform. So benötigen individuelle IoT-Anwendungs-szenarien keine Individuallösungen und lassen sich schrittweise im eigenen Tempo realisieren. Auch Entwickler sowie Anbieter von Datendiensten, beispielsweise im Be-reich der künstlichen Intelligenz oder Big Data, profitieren von einem solchen Konzept. Sie können ohne tiefgreifendes Security-Know-how und ohne Einschränkungen in Hardware-Fragen ihre plattformunabhän-gigen Anwendungen über die Plattform secunet edge sicher anbieten.

Detect: Security Monitoring zur Stärkung der Abwehr von CyberangriffenNeben der grundlegenden Absicherung ist die stete Überwachung der Kommunikation von und zur Maschine zur Aufrechterhaltung eines höchstmöglichen IT-Sicherheitsniveaus entscheidend. Ein Security Monitoring macht den Informationsfluss transparent und er-möglicht die Analyse des Kommunikations-verhaltens der Maschine. secunet edge bietet hierzu eine integrierte Sensorik, die den ein- und ausgehenden Datenverkehr an der Schnittstelle zwischen Maschine und externem Netz kontinuierlich erfasst und durch ein zentrales Analysesystem auswertet.

Mit Hilfe von selbstlernenden Algorithmen erfasst das Analysesystem das Normalver-halten der Kommunikation einer Maschine. Ein plötzlich auftretendes abnormales Kom-munikationsverhalten, das unter anderem durch die Infektion einer Maschine mit Mal-ware oder durch einen nicht gewollten

31


Maschine

Gängige IoT-Plattformen

Abgesicherter Netzbereich

Prozess-IT

Intern (unverschlüsselt)

Internet (verschlüsselt)

Verbindungsaufbau eines Angreifers zur Maschine auftreten kann, wird so erkannt. Der Vorteil einer solchen Verhaltensana-lyse: Auch bislang unbekannte Angriffstypen werden aufgedeckt. Dies ermöglicht eine unmittelbare Reaktion beim Auftritt eines Sicherheitsvorfalls, und die ungewollte Kom-munikation zwischen Maschine und Netz-werk kann blockiert werden.

Hardwarebasierte InformationssicherheitFür d ie unterschiedl ichen Aufgaben, die secunet edge ausführt, sind krypto-graphische Funktionen nötig, die das System hardwaregestützt umsetzt. Das dazu fest verbaute, zer ti f izier te Secure Element (SE) – eine mit einer Smartcard vergleich-bare Technologie – dient als Vertrauens-anker und ermöglicht es beispielsweise, Verschlüsselungsmechanismen auszuführen oder kryptographische Schlüssel inner-halb eines manipulationssicheren Chips zu verwahren. Diese Sicherheitsfunk-tionen sind auch für externe Anwendungen nutzbar, die auf der Plattform ausgeführt werden. Ebenfalls denkbar ist es, die mit secunet edge verbundene Maschine mit einer digitalen Identität zu versehen und in eine Public-Key-Infrastruktur (PKI) zu integrieren, was eine Vielzahl weiterer

Anwendungsmöglichkeiten schafft (Bei-spiele von PKI-Use-Cases finden sich in den Artikeln über CLAAS und ifm in dieser secu-view-Ausgabe).

Vielfältige EinsatzmöglichkeitenMit secunet edge werden nicht nur ver-schiedene Anforderungsbereiche der Industrial Security bedient, sondern auch Basisfunktionen zur Umsetzung von Indus-trie-4.0-Konzepten bereitgestellt. Hier wird offenbar, was IT-Sicherheitsanbieter schon seit Längerem postulieren: Cybersicherheits-technologie kann, richtig eingesetzt, zum Enabler werden.

Zudem deckt secunet edge nicht nur gegenwärtige, sondern auch künftige Anfor-derungen ab. Denn die Schutzhülle, die das System gleichsam um die Maschine legt, ist variabel und kann dadurch einfach an zu-künftige Erfordernisse angepasst werden. Deshalb profitieren nicht nur Betreiber, die ihren Maschinenpark nachrüsten und den Digitalisierungsprozess mit einem soliden Fundament der IT-Sicherheit untermauern wollen, von secunet edge. Auch Maschinen-hersteller, die neue Maschinen-Designs mit einer zukunftssicheren Schutzhülle ver-sehen möchten – und gleichzeitig den Anfor-derungen ihrer Kunden zur Absicherung von Bestandsmaschinen nachkommen wollen –,

gehören zu den Adressaten der Lösung. Nicht zuletzt können Systemintegratoren sich die Edge-Computing-Plattform zunutze machen und ihre IT-Dienste an die Maschine des Betreibers bringen.

Maschinen stehen zwar strukturell gesehen am Rande eines Industrie-4.0-Netzwerks – „at the edge“ –, doch nichtsdestotrotz kommt ihnen eine zentrale Rolle zu. Deshalb ist es so wichtig, sie angemessen zu schützen und ihr Potenzial durch neue Technologien aus-zuschöpfen.

Torsten Redlich [email protected]

SECUVIEW – 1 | 201932


Eine der Voraussetzungen für eine intakte Kommunikations-kette ist es, dass die Kommunikationspartner darauf vertrauen,

dass es sich bei den jeweils anderen tatsächlich um die

Personen oder Instanzen handelt, für die sie sich ausgeben. In mensch-

licher Kommunikation wird dieses Vertrauen im Alltag

anhand von Erfahrungs-werten hergestellt oder

auch verweigert; in sicher-heitskritischen Kontexten

nutzen Menschen Identitäts-dokumente. Doch was, wenn

die Kommunikationspartner Maschinen sind, so wie in

der hochautomatisierten Industrie 4.0? In diesem Fall

erhalten die Maschinen abge-sicherte digitale Identitäten.

Die ifm-Unternehmensgruppe nutzt eine Public-Key-

Infrastruktur (PKI), um ihre Gateway- Komponenten zu

„ personalisieren“.

Gerade bei automatisierten Vorgängen im Internet der Dinge ist die Zuverlässigkeit von Daten von höchster Bedeutung. Denn anders als bei nicht- oder teilautomatisierten Prozessen, bei denen vorhandene Daten und daraus abgeleitete Handlungen durch Techniker bewertet werden können, müssen automatisierte Abläufe ohne solche Instanzen auskommen: Die übermittelten Daten werden nach festgelegten Schemata genutzt und Aktivitäten autonom umgesetzt. Es gibt weder zusätzliche Gegenprüfungen noch Interpretationsspielraum.

Wie lässt sich unter diesen Umständen Ver-trauen in die Daten herstellen? Entschei dend ist die Authentizität, also die sichergestellte Identität der Datenquelle. Ist diese zweifels-frei gegeben, kommt es im zweiten Schritt darauf an, ob mit den vorhandenen Mitteln eine unterbrechungsfreie, manipulations-geschützte Verbindung zwischen Datenquelle und Empfänger etabliert werden kann. Ist dies der Fall, kann den übermittelten Daten voll-umfänglich vertraut werden.

Die ifm-Gruppe produziert und vertreibt Sensoren, Steuerungen, Sof tware und Systeme für die industrielle Automatisierung und Digitalisierung – sprich für die Indus-trie 4.0. Damit eine digitalisierte Indus-trie funktionieren kann, ist es zunächst wichtig, dass Komponenten wie beispiels-weise Gateways in der Lage sind, sich mit der für sie relevanten IT-Infrastruktur zu ver-netzen. Zudem benötigen sie eine Iden-tität, über die sie innerhalb der Infrastruktur eindeutig zuzuordnen sind und adressiert werden können. Bildhaft spricht man von der „Personalisierung“ der maschinellen Komponenten. Nur so kann eine intakte Kommunikationskette über mehrere Kom-ponenten hinweg entstehen, zum Beispiel vom Sensor am Anfang der Kette bis zum verarbeitenden IT-System am Ende, wobei sichergestellt ist, dass alle Elemente ver-trauenswürdig sind.

PKI als LösungswegIm Jahr 2018 war ifm bei der Entwicklung einer neuen Industr ie-4.0-Produktl inie auf der Suche nach einer Lösung für die Personalisierung dieser Komponenten. Dafür bietet sich grundsätzlich eine Public-Key-Infrastruktur (PKI) an. PKI-Lösungen stellen die Vertraulichkeit, Authentizität und Integrität von Daten sicher, indem sie auch automatisiert digitale Zertifikate erzeugen, anwenden und verwalten. Sie laufen meist im Hintergrund ab und sind mittlerweile in vielen alltäglichen Anwendungsbereichen fest etabliert: von der Prüfung von Identitäts-dokumenten bei der Grenzkontrolle über die Absicherung von Sensor- und Steuerungs-daten in der digitalisierten Landwirtschaft (vgl. den Artikel über CLAAS in dieser Aus-gabe, siehe Seite 23) bis hin zum Schutz von Datenströmen in der Automotive-IT.

Auch bei dem hybriden Verschlüsselungs-protokoll TLS (Transport Layer Security), das unter anderem in HTTPS-basierten Webser-vern eingesetzt wird und dort alltägliche An-wendungen wie Online-Shopping absichert, handelt es sich um ein PKI-basiertes Ver-fahren. Im Kontext der Industrie 4.0 ist TLS dazu geeignet, Vertrauensbeziehungen zum Austausch von Daten zu schaffen. Mit TLS lassen sich Daten verschlüsselt über das Internet oder andere Netzwerke über-tragen. Dabei wird zum einen durch den Einsatz von Zertifikaten die Authentizität der Kommunikationspartner sichergestellt. Zum anderen schützt eine Transportver-schlüsselung die zu übermittelnden Daten vor dem unbefugten Zugriff Dritter und vor Manipulation oder Fälschung. Somit kann eine TLS-basierte Lösung die beiden oben genannten Anforderungen bei der Per-sonalisierung der von ifm produzierten Kom-ponenten abdecken.

So weit stand also fest, welcher Lösungs-weg beschritten werden sollte. Allerdings stellte die Umsetzung für ifm eine

DIGITALE IDENTITÄTEN IN DER INDUSTRIE 4.0

Vertrauen zwischen Maschinen

33


BEST PRACTICE: WIE SOLLTE EINE PKI FÜR DIE PRODUKTION VON INDUSTRIE-4.0- KOMPONENTEN AUSSEHEN?

PKI-Lösungen erfüllen ganz unter schiedliche Einsatzzwecke, für die jeweils typische Anforderungen gelten. Für den Ein-satz bei der Produktion von Industriekomponenten sind die folgenden Anforderungen maßgeblich, die vorrangig darauf ab-zielen, Verzögerungen in der Produktion zu vermeiden:

■ Die PKI sollte einen hohen Zerti fikatsdurchsatz aufweisen, um zu vermeiden, dass bereits in der Planungsphase Ein-bußen im Pro duktionsumfang auftreten.

■ Bei der Planung und Installation sollte auf Ausfallsicherheit Wert gelegt werden, so dass die Produktion der Industrie-komponenten uneingeschränkt gewährleistet ist, auch wenn einmal in einer der Systemkomponenten ein Fehler auftreten oder ein Wartungseingriff erforderlich sein sollte.

■ Da gegebenenfalls Zertifikatsanfra gen in von Standard-IT-Systemen abweichenden Formaten durchgeführt werden müssen, sollte die PKI in Bezug auf Schnittstellen zwischen der PKI und dem Personalisierungssystem der Industriekom-ponenten flexibel aufgestellt sein.

■ Um eine durchgehende Automati sierung zu gewährleisten, sollte die PKI automatisierte Workflows für einen reibungs-losen Betrieb ohne Benutzerinteraktionen bieten.

■ Die Lösung sollte erweiterbar sein, um wachsenden Pro-duktionszahlen gerecht zu werden oder auch um indi viduelle Zertifikate bereitstellen zu können, die auf bestimmte Kom-ponenten zugeschnitten sind.

■ Optional sollte die PKI als Managed Security Service zur Verfügung stehen. Dies ermöglicht es dem Produktions-unternehmen, sich auf seine Kernkompetenzen zu konzen-trieren.

Mit der secunet eID PKI Suite steht ein ausgereiftes Produkt zur Realisierung einer flexiblen und leistungsfähigen PKI für die Produktion im Industrie-4.0- Umfeld zur Verfügung.

Die Automatisierung und Digitalisierung der Industrie, wie zum Beispiel in dieser Fabrik-halle, ist bereits weit fortgeschritten.

SECUVIEW – 1 | 201934


Herausforderung dar, da das auf Produktion spezialisierte Unternehmen bei der Im-plementierung von IT-Security-Standards Neuland betreten musste. Hier erwies sich die enge Zusammenarbeit des hauseigenen Integrators ifm services gmbh mit secunet als hilfreich. Auf diese Weise konnten alle Beteiligten ihre jeweiligen Kernkompetenzen einbringen und das Projekt er folgreich realisieren.

Integration in die Produktions-abläufeDie Partner entwickelten auf das Anforde-rungsszenario hin passgenaue Vorgehens-weisen und eine Integrationsplanung, um die PKI nahtlos in den Produktionsablauf einzubetten. Die Abstimmung und Imple-mentierung der dafür benötigten Schnitt-stellen wurden zeitgerecht abgeschlossen, so dass ifm pünktlich zum geplanten Markt-start Gateways anbieten konnte, die bereits mit Zertifikaten personalisiert waren. Zudem übernahm secunet den fortlaufenden Betrieb der PKI-Komponenten als Managed Security Service. So musste ifm keine eigenen Ka-pazitäten dafür aufbauen und konnte sich weiterhin auf seine Kernkompetenzen kon-zentrieren.

Das hohe Tempo bei der Realisierung der ifm-Lösung ließ sich auch deswegen halten, weil sie auf einer bewährten Standardlösung basiert: der secunet eID PKI Suite. Diese modulare Infrastruktur wurde ursprüng-lich im Kontext der Prüfung von Identitäts-dokumenten entwickelt, wird heute aber weit über diesen Bereich hinaus eingesetzt. Sie hält passende Bausteine für eine große Bandbreite von Einsatzszenarien bereit – insbesondere auch in der Industrie.

Das Projekt verlief so erfolgreich, dass der-zeit eine Erweiterung in Planung ist: Künftig soll die bisher auf eine Produktlinie zuge-schnittene Gerätepersonalisierung so aus-gebaut werden, dass für verschiedene weitere Komponenten individuelle Zertifikate generiert werden können. Auch bei der Um-setzung dieses Elements seiner Industrie-4.0-Strategie wird ifm wieder mit secunet zusammenarbeiten.

Björn Jansen [email protected]

ifm-Gateway-Komponenten zur Industrie automation wie hier im Bild

erhalten digitale Identi täten, damit sie innerhalb der Infrastruktur zweifelsfrei

zugeordnet werden können. Quelle: ifm-Unternehmensgruppe

Messen, steuern, regeln und auswerten – wenn es um wegweisende Automatisierungs- und Digitalisierungstechnik geht, ist die ifm-Unter-

nehmensgruppe Pionier und Partner. Seit der Firmengründung im Jahr 1969 ent-wickelt, produziert und vertreibt ifm weltweit Sensoren, Steuerungen, Software und Systeme für die industrielle Automatisierung und Digitalisierung. Heute zählt die in zweiter Generation familiengeführte ifm-Unternehmensgruppe mit mehr als 7.000 Beschäftigten in 85 Ländern zu den weltweiten Branchenführern. Als Mittelstands-konzern vereint ifm die Internationalität und Innovationskraft einer wachsenden Unternehmensgruppe mit der Flexibilität und Kundennähe eines Mittelständlers.

ZUM UNTERNEHMEN

35


PENTESTS FÜR DIE INDUSTRIE 4.0

Erst der Schrecken, dann die Lösung

Pentests – kurz für „Penetrationstests“ – decken potenzielle Einfallstore für Cyber-angriffe auf. Basierend auf diesen Befunden, die für die Betreiber der IT-Systeme zunächst ein wenig erschreckend sein können, werden Lösungen zur Absicherung erarbeitet. Auch in der Industrie praktiziert man dieses Vorgehen schon seit Langem erfolgreich.

In den letzten 20 Jahren hat das secunet Pentestteam viele unterschiedliche System-typen geprüft: von ganz klein (Mikrokon-troller) bis ganz groß (Kraftwerks-IT), von hoch kritisch (Maschinensteuerungen) bis ganz alltäglich (Bürorechner). Dabei sind den Experten auch sehr unterschiedliche (Fehl-)Verhaltenstypen der Systeme unterge-kommen. Hier einige Beispiele, speziell aus dem Umfeld der Prozess-IT:

■ Systeme, die sich bereits bei einem Portscan tot stellen und in einen nicht- definierten Zustand verschwinden. Fatal error

■ Systeme, die nach einem Test-Update mit einer angepassten Konfiguration in den Reset-Modus verfallen und nur noch mit Standard-Passwörtern auf Standard- Ports zu erreichen sind. System not reachable

■ Systeme mit ungesicherten Schnell-zugriffen, die – manchmal erst über Umwege – einen administrativen Zugriff erlauben. Welcome root

Doch nicht nur Maschinen und Systeme offenbaren Schwachstellen. Auch Mitar beiter sind nicht immer fehlerfrei und geben am Telefon schon mal Login-Token an angebliche Servicetechniker heraus. Human error

Bekannte ProblemzonenDies sind die Top 5 der Problemzonen in Prozess-IT-Systemen aus Sicht der secunet Pentester:

1. schlechter Zugangsschutz für Systeme und Anwendungen

2. Nutzung unverschlüsselter Protokolle3. veraltete Hard- und Softwarekom-

ponenten4. fehlende Systemhärtung 5. zu große und / oder unsegmentierte

Netzbereiche

Diese Probleme sind alte Bekannte aus der klassischen Büro-IT. Allerdings bringt die Prozess-IT weitere, oft unterschätzte Heraus-forderungen mit sich:

■ Der Zugangsschutz (beispielsweise über Passwörter) ist häufig trivial umgesetzt und nicht änderbar.

■ Die verwendeten Transferprotokolle ent-halten keine angemessenen Sicherheits-mechanismen, sie sind häufig proprietär und nicht aktualisierbar.

■ Ein Patchen von Alt-Systemen ist nicht möglich oder führt zum Verlust von Service-Garantien.

■ Systeme müssen wie vom Hersteller vor-gegeben betrieben werden, eine Härtung ist im Nachhinein nicht möglich.

An diesem Punkt stellen sich grundsätz-liche Fragen: Wie lassen sich Pentests in der Prozess-IT eigentlich durchführen, wenn die aus der Büro-IT bewährten Sicherheitsmaß-nahmen nur selten anwendbar sind? Und helfen Pentests überhaupt, wenn die er-wähnten Herausforderungen nicht so einfach zu lösen sind?

Im Rahmen des secunet OT-Pentest-Modells legen die Experten bei der

Analyse einer Infrastruktur verschiedene Zonen oder Schalen fest – so wie in

diesem Beispiel.

Prozess-ITOf�ce-IT

Zone 0

Zone 1

Zone 3

Zone 2

Gateway

Datenbank

Tablet

Drucker

Phone

WLAN

Firewall

Firewall

Firewall

Firewall

Protokoll-konverter

VPN

Workstation

Remote Access

Laptop

HMI

PLC

Wasserpumpe

Auth-Server

Leitwarte

Web-Server

SECUVIEW – 1 | 201936


Am 30. Juni 2019 lief für die erste Gruppe, die ca. 176.000 Haus-, Fach- und Zahnärzte sowie Psychotherapeuten (auch „Leis-tungserbringer“ genannt), die Frist für die Anbindung an die Telematikinfrastruktur mit dem Konnektor ab. Wer jetzt noch nicht an das digitale Gesundheitsnetz Deutschlands angeschlossen ist, muss Strafe zahlen – und zwar laut Gesetz 1 % der Honorarkosten.

secunet hat bereits über 45.000 Kon-nektoren für das digitale Gesundheitsnetz ausgeliefert und ist damit sehr gut im Markt vertreten – nicht zuletzt, da es geschätzt zwischen 10.000 und 30.000 Verweigerer und Abwartende im Markt gibt, die zum Teil wohl auch eine Klage gegen die gesetzlichen Regelungen eingereicht haben und aktuell auf das Ergebnis warten.

Denn es ist nicht so, dass die Digitali-sierung im Gesundheitswesen überall mit offenen Armen empfangen wird. Die Vor-behalte sind groß: Werden die Abläufe in meiner Praxis gestört? Ergibt sich überhaupt

ein Mehrwert? Sind meine Patientendaten geschützt? Welche Kosten entstehen mir dadurch? Solche Fragen stellen sich viele Ärzte, und sie sind durchaus gerechtfertigt. Bei vielen Leistungserbringern herrscht Un-klarheit, was die Einführung überhaupt für sie bedeutet – sei es nun im Positiven oder im Negativen.

Transformation braucht die richtige Kommunikation Wurde also zu wenig informiert? Verschie-dene Instanzen haben in zahlreichen In-formationsveranstaltungen Wissen vermittelt und tun dies immer noch. Allerdings orientiert sich die Informationsvermittlung oft an technischen Fakten, die nicht zum tatsäch-lichen – und oft sehr unter schiedlichen – Wissensstand des Publikums passen. Wenn in einer Veranstaltung für Hausärzte darauf hingewiesen wird, dass Konnektoren Smart Cards mit Zertifikaten enthalten, die in fünf Jahren ablaufen, können die meisten

TELEMATIKINFRASTRUKTUR

E-Health: Kann Deutschland Digitalisierung?Ein Kommentar von Markus Linnemann, Leiter der Division Kritische Infrastrukturen, secunet Security Networks AG

Der Digitalisierungsprozess im Gesundheitswesen begann bereits vor mehr als 15 Jahren. Nun, im Sommer 2019, sind

die niedergelassenen Ärzte und Zahnärzte als erste von

mehreren Gruppen an die Telematikinfrastruktur (TI)

angeschlossen – zumindest überwiegend. Aber sind

Mehrwerte für Ärzte oder Ver-sicherte entstanden? Ist die

Technologie sicher? Passt der organisatorische Rahmen?

Es ist Zeit, den Status Quo zu betrachten – und auch, eine

Lanze für die Technologie hinter der TI zu brechen.

Das secunet OT-Pentest-ModellUm diese Klippe zu umschiffen, wurde das secunet OT-Pentest-Modell entwickelt. Es liefert die nötige Risikoorientierung, eine valide Vorgehensstruktur sowie Analyse-anwendungen, die im Umfeld der Prozess-IT bewährt sind. Das Modell teilt im ersten Schritt den zu betrachtenden Systemverbund in maximal vier Schalen auf (siehe Grafik auf Seite 35). Die äußere Schale ist oft die Fire-wall, die das „Drinnen“ vom „Draußen“ trennt. Die innere Schale weist den höchsten Schutz-bedarf auf, so wie etwa die Leitwarte einer Produktionsanlage. Für jede dieser Schalen werden nun in einem zweiten Schritt die wahr-scheinlichsten Angriffsvektoren bestimmt –

das können zum Beispiel Angriffe über die Internetanbindung, über Schnittstellen zu Dienstleistern, über Datenkommunikations-schnittstellen mit exter nen Produktionsstätten oder über Schnittstellen in die Office-IT sein. Diese potenziellen Einfallstore werden dann gezielt analysiert.

Die gute Nachricht: Schlecht abgesicherte Schnittstellen lassen sich in der Regel gut behandeln, da sie meist von handelsüblichen Systemen wie Firewalls und Routern kon-trolliert werden – und diese können ohne negative Auswirkungen auf die eigentlichen Steuerungssysteme angepasst werden. Ein großer Teil bekannter Angriffe wird damit wirkungslos.

Ist die äußere Schicht gesichert, werden schrittweise die weiteren Schichten geprüft. Zum Schluss haben die Experten nicht nur Angriffspotenziale auf jede einzelne Kom-ponente identifiziert, sondern auch Maß-nahmen abgeleitet, um die Risiken zu minimieren, denen diese ausgesetzt sind. Das secunet OT-Pentest-Modell definiert somit die entscheidenden Schritte auf dem Weg zur sicheren Prozess-IT.

Dirk Reimers [email protected]

37


Teilnehmer diese Information nicht einordnen. Bei ihnen bleibt vor allem hängen: „In fünf Jahren habe ich ein Problem, die Technik ist ja gar nicht ausgereift.“ Hier fehlt die Abs-traktion von der Technik zur eigentlichen Auswirkung bei den Ärzten. Tatsächlich muss nach fünf Jahren das Zertifikat erneuert werden, aber das ist eine technisch lösbare Aufgabe, obwohl der Prozess noch nicht ganz feststeht.

Die meisten Ärzte sind keine IT-Spezia-listen und wollen dies – zu Recht – auch nicht sein, schließlich liegt IT meilenweit von ihrem eigentlichen Fachgebiet entfernt. Ein Transformationsprojekt, das auf komplexer Technologie beruht, bedarf daher einer Kom-munikation, die an die Zielgruppe angepasst ist. Dies erfordert eine enge Zusammenarbeit zwischen Referenten und Experten, die die komplexe Technologie auf die Lebenswirk-lichkeit der Ärzte abbilden können.

Ähnlich funktionieren Awareness-Projekte für IT-Sicherheit, die in Unternehmen oder Behörden Aufmerksamkeit für Informations-sicherheit schaf fen sollen. Durch ziel-gruppengerechte Kommunikation können betroffene Personengruppen von einer ur-sprünglich ablehnenden Haltung über ra-tionale Akzeptanz bis hin zu Erkenntnis und

Integration geführt werden, wenn es sich um ein an sich vernünftiges Projekt handelt. Diese bewährten Methoden lassen sich auch auf ein Transformationsprojekt wie die Digitalisierung im Gesundheitswesen an-wenden. Die Erfahrung aus Awareness-Projekten zeigt aber auch, dass es einige Zeit dauert, bis ein Umdenken stattfindet.

Zudem besteht ein wesentlicher Unter-schied zwischen IT-Sicherheit und Tele-matikinfrastruktur: IT-Sicherheit benötigt definitiv jeder. Bei der TI ist das aus der Per-spektive vieler Ärzte noch nicht erwiesen. Erst mit künftigen Erweiterungen wie zum Beispiel der elektronischen Patienten-akte ist zu erwarten, dass der Mehrwert der Digitalisierung für Leistungserbringer

offenbar wird. Zumindest bis zu diesem Zeit-punkt ist weiterhin damit zu rechnen, dass dem Projekt als Ganzem auch Skepsis ent-gegenschlägt.

Angst vor dem „gläsernen Patienten“Deutschland ist bekannt für seine hohen Anforderungen im Hinblick auf Sicherheit und Datenschutz. Dies schlägt sich in der Architektur der TI nieder: Deren Sicherheits-anforderungen sind sehr hoch – vermutlich sind sie im weltweiten Vergleich digitaler Gesundheits-Infrastrukturen mit Abstand die höchsten. Dennoch zweifeln verschiedene Gruppen, zum Beispiel aus dem Umfeld der Leistungserbringer, an der Sicherheit der TI.

Natürlich sind Sicherheitsbedenken grund-sätzlich nichts Schlechtes – im Gegenteil. Ein IT-System in weltweite Datennetze zu in-tegrieren bedeutet immer, statt rein lokalen potenziellen Angriffsvektoren auch globale betrachten zu müssen. Zudem gilt: Hundert-prozentige Sicherheit kann es nie geben. Es ist also immer ratsam, Bedenken ernst zu nehmen und potenzielle Einfallstore zu unter-suchen.

Die am weitesten verbreiteten Bedenken beziehen sich auf einen möglichen Verlust von Patientendaten und die Angst vor dem „gläsernen Patienten“. Da die meisten Ärzte wie erwähnt keine IT-Experten sind und nicht jeder Arzt sich einen professionellen IT-Service mit IT-Sicherheitskompetenz

Markus Linnemann

Leiter der Division Kritische Infrastrukturen secunet Security Networks AG

Markus Linnemann

Leiter der Division Kritische Infrastrukturen secunet Security Networks AG

SECUNET IM GESUNDHEITSSEKTOR

secunet wurde im Dezember 2018 im digitalen Gesundheitsmarkt präsent, als der secunet konnektor von der gematik – Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH zugelassen wurde. Der secunet konnektor dient beispiels-weise Arztpraxen, Apotheken oder Krankenhäusern als zentrales Element zum An-schluss an die Telematikinfrastruktur (TI).

Dem Markteintritt ging eine Entwicklungsphase voraus, die von unzähligen Ge-sprächen mit Kunden, Verbänden, Ärzten, dem Bundesamt für Sicherheit in der In-formationstechnik (BSI), der gematik und der Politik geprägt war. Auf diese Weise hat die secunet Division Kritische Infrastrukturen einen umfassenden Einblick in den Digitalisierungsprozess im Gesundheitswesen in Deutschland und die vielfältigen damit verbundenen Herausforderungen gewinnen können.

SECUVIEW – 1 | 201938


TELEMATIKINFRASTRUKTUR – WO KOMMEN WIR HER, WO GEHEN WIR HIN?

Zweck der Telematikinfrastruktur (TI) ist es, die Beteiligten im Gesundheitswesen – Ärzte, Krankenhäuser, Apotheken, Krankenkassen und weitere Instanzen – miteinander zu ver-binden, um medizinische Informationen über Patienten aus-tauschen zu können. Für den Aufbau, den Betrieb und die Weiterentwicklung der TI wurde 2005 die gematik – Gesell-schaft für Telematikanwendungen der Gesundheitskarte mbH gegründet.

Die Jahre 2006 bis 2011 waren ge prägt durch Abstim-mungen zwischen den Verbänden der Krankenkassen und Ärzte. Seit 2011 nahm das Projekt mit dem Rollout der elek-tronischen Gesundheitskarte an Fahrt auf. Ende 2017 ging die erste Praxis mit einem Konnektor online. Konnektoren (so wie der secunet konnektor) fungieren als Herzstück für die sichere Kommunikation zwischen Arztpraxis und TI.

In den kommenden Monaten wird die TI durch Fach-anwendungen ergänzt, die sichtbaren Mehrwert bringen werden. Dazu zählen die qualifizierte elektronische Signatur (QES), die Kommuni kation für Leistungserbringer (Kom-LE), das Notfalldatenmanagement (NFDM) und der elektronische Medikationsplan (eMP). Nach dem Terminservice- und Ver-sorgungsgesetz (TSVG) soll am 1. Januar 2021 auch in der Fläche die elektronische Patientenakte (ePA) zur Verfügung stehen.

Parallel werden in den nächsten Monaten nach den Haus-, Fach- und Zahnärzten die Klinken und Apotheken an die digitale Datenautobahn im Gesundheitswesen an-geschlossen. Auch in den übrigen Heilberufen formieren sich bereits die ersten Interessierten und prüfen die Möglich-keiten, die sich durch die Digitalisierung ergeben.

beauftragt, ist durchaus davon auszugehen, dass einige Praxen ohne großen Aufwand angreifbar sind, da ihnen die notwendigen Sicherheitsvorkehrungen in ihrem Netz-werk fehlen. Folglich besteht ein Risiko, das allerdings immer nur auf eine Arztpraxis beschränkt ist. Die TI als Ganze mit ihrer Vielzahl von Gesundheitsdaten ist nicht in Gefahr.

Aktuell erregt in der Presse und den so-zialen Medien ein Fall Aufsehen, bei dem ein Dienstleister offenbar beim Anschluss einer Praxis an die TI die vorher bestehenden Sicherheitsvorkehrungen des Praxisnetz-werks außer Kraft gesetzt und die Praxis somit unsicher hinterlassen hat. Wenn sich dies so zugetragen hat, handelt es sich um eine klare Fehlleistung des Dienstleis-ters. Für die betroffene Arztpraxis ist das ein Problem, aber lässt sich aus diesem Fall ab-leiten, die TI sei unsicher? Nein, denn ers-tens ist der Fehler nicht der Technologie der TI anzulasten. Zweitens hat der Fehler die Sicherheit des Praxisnetzwerks reduziert, der TI aber keinen Schaden zugefügt. Der Zugang zu dieser ist weiterhin durch den ver-bauten Konnektor geschützt.

Die Technik ist nicht das SicherheitsproblemAn dieser Stelle erscheint es durchaus an-gebracht, eine Lanze für die Technik, die hinter der TI steckt, zu brechen. Diese Tech-nik als unsicher oder veraltet zu bezeichnen, geht am eigentlichen Problem vorbei. Denn die Verschlüsselungstechnologien, die bei der TI eingesetzt werden, folgen höchsten Sicherheitsstandards. Aus Sicht eines Sicherheitsexperten wirken die Schutzkon-zepte, die bei der TI Anwendung finden, an einzelnen Stellen sogar übertrieben. Wenn dann Geräte falsch installiert werden, ist das nicht der Technologie vorzuwerfen. Zudem können organisatorische Abläufe und

Datenschutzkonzepte (etwa hinsichtlich der Art der Datenhaltung und der Zugriffsrechte) völlig unterschiedlich umgesetzt werden, mit durchaus unterschiedlichen Sicherheits-niveaus. Doch die Frage, welche Personen-gruppen Zugriffsrechte auf welche Daten erhalten sollen, ist keine technische, sondern eine organisatorische. Diese Aspekte können und sollten intensiv diskutiert werden.

Zudem ist zu bedenken, dass sich manche der Anforderungen widersprechen. Um die Bürger von den Vorteilen der TI profitieren zu lassen, wäre es zum Beispiel wünschens-wert, dass sie ihre Patientenakte künftig auf dem Smartphone oder sogar auf der Smartwatch auslesen können. Technisch

lässt sich diese Herausforderung lösen, die gematik hat bereits Spezifikationen dazu vorgelegt. Doch dabei sollte nicht ver-gessen werden, dass die Anbindung von Mobilgeräten prinzipiell ein höheres Risiko mit sich bringt als die Anbindung von speziell geschützten stationären Geräten wie dem Konnektor. Dieses Beispiel zeigt, dass es letztlich immer darum geht, Risiken abzu-wägen. Je größer der potenzielle Schaden, desto umfangreicher sollten die Sicherheits-maßnahmen ausfallen. Und je nach Zugriffs-punkt – Handy, Arztpraxis, Krankenhaus, Krankenkasse – ist das Risiko unterschiedlich zu bewerten.

39


SINA PRODUKT-NEWS

Client im Flüstermodus

Die speziell gehärtete SINA Workstation H R RW11 ist nun auch in einer abstrahlgeschützten Variante gemäß SDIP 27

Level A erhältlich. Dies dient der Abwehr von Angriffen, die auf das Empfangen und Aus-

werten elektromagnetischer Abstrahlung des Clients

abzielen.

Die SINA Workstation H R RW11 ist ein universell einsetzbarer Krypto-Client für mobile und extreme Einsatzbedingungen. So bietet das Gehäuse einen hohen Schutz insbesondere gegen Schock, Vibration, Staub und Feuchtigkeit. Die SINA Work-station H R RW11 wurde gemeinsam mit

dem Bundesamt für Sicherheit in der Infor-mationstechnik (BSI) für die Verarbeitung, Speicherung und Übertragung von Ver-schlusssachen der Einstufungen bis ein-schließlich GEHEIM entwickelt. Im Fokus stehen dabei militärische und behördliche Hochsicherheitsnetze mit taktisch mobilen Systemanteilen.

Die neue Produktvariante erfüllt mit SDIP 27 Level A extrem hohe Anforderungen an den Abstrahlschutz. Sie ergänzt eine weitere abstrahlgeprüfte Ausführung gemäß Zone 1, die bereits seit 2017 verfügbar ist. Damit bietet das Portfolio Produktvarianten für un-terschiedliche Einsatzszenarien.

Neben dem gehärteten Client befindet sich mit der SINA Workstation H Client III 27A ein weiterer maximal abstrahlgeschützter Client-Typ auf der Ziellinie. Erste Geräte werden Ende 2019 ausgeliefert.

Merlin Gräwer [email protected]

Mehrwert in SichtweiteDie Diskussion um die TI wird zusätzlich da-durch belastet, dass echte Mehrwerte für die Beteiligten aktuell noch nicht sichtbar sind. Dies gilt insbesondere für die Versicherten: Sie können momentan durchaus den Ein-druck gewinnen, für ein Mammut- und Langzeitprojekt zu zahlen, das ihnen aber unter dem Strich nichts bringt. Doch der Ein-druck trügt: Mehrwerte werden sich zeigen, wenn die Applikationen eingeführt werden, die spürbare Vorteile für die Versicherten und Leistungserbringer bereithalten. Dazu gehören etwa die elektronischen Patienten-akten, das Notfalldatenmanagement und der elektronische Medikationsplan.

Kann Deutschland nun Digitalisierung? Ja, wenn die beteiligten Instanzen auf eine Weise kommunizieren und organisieren, die einem tiefgreifenden Transformations-projekt angemessen ist. Dazu müssen alle Beteiligten an einem Strang ziehen. Im Fall der TI sind die beteiligten Instanzen vielfältig, von politischen Organisationen über Krankenkassen bis hin zu Verbänden und Leistungserbringern. Es ist derzeit noch offen, ob der Dialog zwischen ihnen am Ende effizient und konstruktiv gelingt. Wünschens-wert wäre dies, da die TI künftig allen Be-teil igten, auch den Versicherten, echte Mehrwerte bieten kann.

SECUVIEW – 1 | 201940

KUrz notIErt

Wunderbar together in San Francisco – secunet auf der RSA Conference 2019

Jedes Jahr im Frühjahr tref fen sich die Spitzenvertreter der internationalen IT-Sicherheitsszene in Kalifornien. Mit mehr als 42.000 Besuchern, 650 Ausstellern sowie zahlreichen renommierten Experten, Keynote-Speakern und Impulsgebern gilt die RSA Conference in San Francisco als weltweit wichtigste Veranstaltung für IT-Security. Das überaus breit gefasste Kon-ferenzprogramm aus Sessions, Keynotes und Seminaren beschäftigt sich mit Themen von Cloud-Angeboten und Kryptographie bis hin zu hoheitlichen Lösungen für IT-Sicherheit und Cyberabwehr. Auch für erfahrene Kon-ferenzbesucher ist es aufgrund dieser Vielfalt jedes Jahr wieder eine Herausforderung, das jeweils passende Konferenzangebot nicht zu verpassen.

Wie in den Jahren zuvor war secunet auch dieses Mal auf dem deutschen Gemein-schaftsstand vertreten und präsentierte dort gemeinsam mit anderen Anbietern „IT Security made in Germany“. Die Be-sonderheit in diesem Jahr: Der deutsche Gemeinschaftsauftritt wurde in den Ver-anstaltungskalender des offiziellen, durch das Auswärtige Amt, das Goethe-Institut und den Bundesverband der Deutschen Industrie koordinierten und geförderten „Deutschland-USA-Jahres 2019“ aufgenommen – Motto dieser Initiative: „Wunderbar together“. Vor diesem Hintergrund waren auch hochrangige Vertreter des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie des

Bundesministeriums des Innern, für Bau und Heimat (BMI) mit auf dem German Pavillon anwesend.

Thematischer Schwerpunkt auf dem secunet Messestand war neben SINA vor allem die Funktionalität SINA SOLID. Diese ermöglicht eine dynamische VPN-Ver-netzung, die automatisch die Verbindung zwischen den einzelnen Netzknotenpunkten konfiguriert. SINA SOLID ist das Ergebnis einer Gemeinschaftsentwicklung und mehr-fach prämierten Forschungsarbeit mit der TU Ilmenau. Zusätzlich wurde die sicherheits-gehärtete Cloud-Plattform SecuStack vor-gestellt. SecuStack ermöglicht Unternehmen und Behörden mit sicherheitskritischen Anwendungen die Nutzung von Cloud Computing. Auf der Basis von OpenStack, dem Open-Source-Standard für Cloud-Plattformen, bietet SecuStack die aktuell weitreichendste Lösung zum Schutz und zur Kontrolle eigener Daten.

Zusätzl ich zum Gemeinschaf tsstand organisierte der deutsche IT-Sicherheits-verband TeleTrusT gemeinsam mit BSI, BMI und der deutsch-amerikanischen Handelskammer e in bre i tes Rahmen-programm, unter anderem mit dem so-genannten „German-American Security Forum“. Dr. Rainer Baumgart, Vorstands-vorsitzender der secunet, hielt dort eine Keynote mit dem Titel: “Where do we come from and where are we going? A short story about Quantum Computing”. Ebenfalls zum

Programm gehörte ein Empfang im General-konsulat der Bundesrepublik Deutschland in San Francisco. Bei dieser Gelegenheit wurde Rainer Baumgart das vom BSI aus-gestellte Deutsche IT-Sicherheitszertifikat für den secunet konnektor offiziell übergeben. Der secunet konnektor dient Leistungs-erbringern wie beispielsweise Arztpraxen als zentrales Element zum Anschluss an die Telematikinfrastruktur (TI) und steht seit dem erfolgreichen Abschluss des Zulassungsver-fahrens bei der gematik Ende 2018 bereit für den Roll-out.

Ein weiteres Highlight außerhalb von Messe- und Konferenzhallen bot sich der secunet Delegation bei einem kleinen Ab-stecher vor die Tore der Stadt: beim Besuch des historischen Museums für Küstenfunk am Point Reyes in der Marconi RCA Wire-less Station. Die Teilnehmer erlebten sehr anschaulich, wie die Schiffskommunikation auf dem Pazifik mit Landfunkstellen noch bis in die 1990er Jahre mittels Morsecode- Übertragung durchgeführt wurde.

Die Veranstaltung fand im Moscone

Center in San Francisco statt.

41

KUrz notIErt

LÄNDERDIALOG IT-SICHERHEIT 2019

Austausch über sichere Digitalisierung

„Über den Tellerrand sehen“: Unter diesem Motto stand der diesjährige LänderDIALOG IT-Sicherheit, ein Forum für den Austausch über die sichere Digitalisierung in der Ver-waltung auf Ebene der Bundesländer. secunet hatte die Veranstaltungsreihe im Jahr 2018 ins Leben gerufen. Nach dem Kick-off-Event in Frankfurt am Main fand die diesjährige Ver-anstaltung im Februar 2019 in der secunet Unternehmenszentrale in Essen statt.

Auf der Agenda standen vielfältige The-men. So referierte Hartmut Beuß, CIO der Landesregierung Nordrhein-West falen, über die Bedeutung von IT-Sicherheit für die Digitalisierung. Fabienne Tegeler vom

Bundesamt für Sicherheit in der Informations-technik (BSI) sprach über die Stärkung der Cybersicherheit durch Zusammenarbeit. Maren Janke-Baier vom Bayerischen Wirt-schaf tsministerium berichtete über den Einsatz von künstlicher Intelligenz zur kon-tinuierlichen Netzwerküberwachung. Das Unternehmen Materna stellte gemeinsam mit secunet den Einsatz der E-Akte für sensible Daten vor. Weitere spannende Vorträge zur Flüchtlingserfassung oder auch zum BSI-konformen Sprachanschluss rundeten das Programm ab.

Nach zwei erfolgreichen Veranstaltungen mit steigender Teilnehmerzahl plant secunet, den LänderDIALOG jährlich in wechselnden Bundesländern fortzuführen. Thematisiert werden sollen Inhalte aus der Verwaltung des jeweiligen Gastgeberlandes, aber auch Best Practices aus anderen Bundesländern. Der LänderDIALOG wird somit regelmäßig eine Gelegenheit für einen kritischen und direkten Austausch im Bereich IT-Sicherheit bieten.

Wenn Sie in einer Landesbehörde oder in der Verwaltung ar-beiten und in Zukunft auch am LänderDIALOG teilnehmen möchten, registrieren Sie sich auf der folgenden Website: www.secunet.com/LaenderDIALOG

Hartmut Beuß, CIO der Landes-regierung Nordrhein-West-falen (Mitte) mit Norbert Müller (links) und Torsten Henn von secunet beim LänderDIALOG IT-Sicherheit 2019

SECUVIEW – 1 | 201942

KUrz notIErt

KENIAL

Spenden für bedürftige Jugendliche in aller Welt

Gerade für Schulkinder und Jugendliche ist der Zugang zu Informationstechnologie wichtig, um damit an der allgegenwärtigen Digitalisierung teilhaben zu können. Leider ist dieser Zugang nicht immer vorhanden, insbesondere in weniger entwickelten Welt-gegenden.

Der Verein KENIAL e. V. setzt mit seinen Projekten an diesem und vielen weiteren Problemen an: KENIAL organisiert gemein-sam mit Sportlern Kinderhilfsprojekte auf der ganzen Welt. Die beteiligten Sportler haben durch KENIAL die Chance, an die Länder, die sie für ihren Sport nutzen, etwas zurück-zugeben.

Ende 2018 spendete secunet 25 Laptops an KENIAL. Die Geräte werden aktuell in di-versen Einrichtungen wie einem Mutter-Kind-Heim in der Ukraine oder einem Kloster in Bhutan eingesetzt. Acht der 25 Laptops gingen an die NGO Untuzi Kwa Watoto in Nakuru, einer Stadt in Kenia. Dort wohnen mehr als 120 Waisenkinder vom Kindes- bis zum jungen Erwachsenenalter. Die Geräte werden von Schülern und Studenten genutzt, die dort aufgewachsen sind. Sie haben es selbstständig, ohne Eltern, geschafft, ihren Schulabschluss zu erreichen und blicken nun erwartungsvoll in die Zukunft. Nach Be-endigung ihres Studiums werden die Laptops an die NGO zurückgegeben, um weitere Schüler und Studenten zu unterstützen.

Hier finden Interessierte mehr Informatio nen zu KENIAL: www.kenial.de

KENIAL nutzt die von secunet gespendeten Laptops für Hilfsprojekte

in verschiedenen Ländern.

Spende an die DRK Kinderklinik in Siegen

Die Lebensqualität für Kinder verbessern – das ist das Ziel der DRK Kinderklinik in Siegen. Die Einrichtung des Deutschen Roten Kreuzes hat es sich zum Auftrag gemacht, Kinder, Jugend-liche und junge Erwachsene therapeutisch, pflegerisch und medizinisch optimal zu ver-sorgen. Jährlich behandelt die Klinik rund 6.200 Patienten stationär und über 62.000 Patienten ambulant – und das in durchgängig kinder- und familienfreundlicher Atmosphäre.

Zur Unterstützung dieser Einrichtung ver-zichtete der ehemalige Vorstandsvorsitzende von secunet, Dr. Rainer Baumgart, bei seinem Eintritt in den Ruhestand im Juni 2019 auf jeg-liche Abschiedsgeschenke. Er rief stattdessen dazu auf, an die Kinderklinik zu spenden. In diesem Rahmen konnten rund 8.800 Euro ge-sammelt werden, die Dr. Baumgart symbolisch übergab.

Dr. Stefan Schumann, Facharzt für Kinder- und Jugendmedizin – Arzt in der Abteilung Pädiatrie, und

Dr. Rainer Baumgart nach der Spendenübergabe.

43

SErvIcE

Termine – Oktober bis Dezember 2019

Impressum

Herausgebersecunet Security Networks AGKurfürstenstraße 58, 45138 Essenwww.secunet.com

Leitung Redaktion, Konzeption, Gestaltung und Anzeigen (V. i. S. d. P.)Marc Pedack, [email protected]

Design und Satzsam waikiki, www.samwaikiki.de

Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers wieder.

Urheberrecht© secunet Security Networks AG. Alle Rechte vorbehalten. Alle Inhalte sind urheberrechtlich geschützt. Jede Ver-wendung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Erlaubnis.

BildnachweisTitel, S. 3, 11, 15, 21, 37, 39, 41, 42 unten: secunetS. 2 oben rechts, S. 34: ifm Unternehmens-gruppeS. 2 unten links, S. 17: Bundesamt für Sicherheit in der InformationstechnikS. 4, 5, 6: RheinEnergie AGS. 7: Bayerisches Landesamt für SteuernS. 8/9: iStock / baonaS. 18: Prof. Christoph BuschS. 23, 24, 25: CLAAS KGaA mbhS. 26, 28/29, 33: iStockS. 40: Adobe StockS. 42 (außer ganz unten): KENIAL e.V.

ID-Nr. 1983656

1. bis 2. Oktober 2019IKT-Sicherheitskonferenz | Fürstenfeld, Österreich

8. bis 10. Oktober 2019it-sa | Nürnberg

15. bis 17. Oktober 2019NIAS | Mons, Belgien

16. bis 17. Oktober 2019ELIV | Bonn

22. bis 23. Oktober 2019inova | Ilmenau

23. bis 24. Oktober 2019AFCEA TechNet Europe | Bratislava, Slowakei

28. bis 29. Oktober 2019 Digital-Gipfel | Dortmund

18. bis 21. November 2019Defense & Security | Bangkok, Thailand

19. bis 22. November 2019Milipol | Paris, Frankreich

22. November 2019Automotive IT Security Workshop | München

26. bis 27. November 2019Berlin Security Conference | Berlin

2. Dezember 2019Polizeitag | München

3. bis 4. Dezember 2019StrategieTage IT & IT Security DACH | Zürich, Schweiz

Haben Sie hierzu Fragen oder möchten Sie sich anmelden? Schicken Sie uns gern eine E-Mail an [email protected].

SECUVIEW ABONNIEREN

Sie möchten secuview regelmäßig und kostenlos zugesendet be-kommen? Wählen Sie zwischen der Print- und der E-Mail-Version.

Anmeldung: www.secunet.com/secuview

Dort haben Sie auch die Möglich-keit, Ihr Abonnement zu ändern oder zu kündigen.

Wenn es darum geht, Maschinen und kritische Netzwerke zu schützen, steht secunet bereit. Mit unserem Portfolio aus sicheren Gateways, Quarantänesystemen und Echtzeitüberwachung isolieren wir kritische Netzwerke und verbinden sie gleichzeitig sicher mit Herstellern, Dienstleistern und Projektpartnern.

secunet – Ihr Partner für IT-Premiumsicherheit.

secunet schützt Maschinen, Anlagen und kritische Netzwerke vor Cyberangriffen und Malware.

Damit Hersteller nicht plötzlich Malware produzieren.

Kein Mangel an Zukunfts- themen · agentur. Jüngstes Beispiel ist der IT-Sicherheitskatalog für...

Documents

Transcript of Kein Mangel an Zukunfts- themen · agentur. Jüngstes Beispiel ist der IT-Sicherheitskatalog für...